Sabías que existen préstamos rápidos o flash loan de algunas plataformas ofrecen recursos a usuarios sin que estos necesiten aportar una garantía o entregar dinero por adelantado, sin embargo, en un descuido se puede manipular su precio alterando su valor, lo que podría perjudicarte; informó MILENIO.
En gran medida estos préstamos pueden llevarse a cabo debido al uso de una red blockchain o cadena de bloques, parte fundamental de las criptomonedas como bitcoin. Aquí te explicamos cómo funcionan y por qué pueden poner en riesgo tus ahorros.
Según ESET, compañía líder en detección proactiva de amenazas, de 2020 a la fecha se reportaron125 exploits (programa informático) utilizados para abusar de vulnerabilidades en el ecosistema de las finanzas descentralizadas que provocaron pérdidas por aproximadamente 3 mil 900 millones de dólares.
“Los ataques que buscan sacar provecho de los préstamos rápidos en el ecosistema de las finanzas descentralizadas (DeFi) tienen su complejidad. Pueden resultar difíciles de comprender, ya que exigen conocer cómo funcionan los flujos de las criptofinanzas y sus tecnologías asociadas», refiere..
La firma explica que en el último tiempo los préstamos rápidos han tenido gran auge dado que los protocolos DeFi o ecosistema de las finanzas descentralizadas, que otorgan a usuarios fondos para que estos puedan utilizarlos y devolverlos en una misma operación incluyendo, por supuesto, un cobro de comisiones.
«Si bien con un préstamo de estas características no se podría acceder a la compra de un automóvil u otros bienes, son muy utilizados para realizar distintas actividades en el ecosistema cripto, como swapping colateral, trading de arbitraje, ahorro de tarifas de transacción y refinanciamiento de deuda, entre otros.”, menciona Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
¿Cómo funcionan los flash loans?
Alrededor de estos préstamos intervienen diversos conceptos, en gran medida estos pueden llevarse a cabo debido al uso de una red blockchain.
Esta tecnología permite programar una transacción para que tome los fondos prestados, los movilice por distintos contratos inteligentes de otros protocolos, se realicen las operaciones de intercambio pertinentes.
Al final de esa misma transacción, el dinero del préstamo y sus comisiones sean reintegrados al protocolo inicial mientras el usuario se retira con sus ganancias.
«Lo más relevante de este proceso es que todos estos movimientos se realizan en una única operación de forma instantánea y todo queda registrado en un mismo bloque de la blockchain«, refiere.
Flash loan, ¿una amenaza?
Según ESET, respecto a los ataques más comunes apuntando a estos préstamos rápidos, el principal punto está en el abuso de la seguridad de los contratos inteligentes de una plataforma.
En este sentido, un atacante puede solicitar fondos que no requieren garantía y más tarde manipular el precio de un criptoactivo en una plataforma de intercambio y revenderlo rápidamente en otra.
Los flash loans permiten a los usuarios tomar prestamos por grandes cantidades de activos de un fondo común de liquidez en una blockchain.
Fondos que se deben devolver dentro de la misma transacción. Pero entorno a este proceso, uno de los problemas que se plantea es que esos activos pueden utilizarse para manipular el mercado con una gran operación.
Al utilizar protocolos de exchanges descentralizados (DEX) que funcionan como el único oráculo de precios del protocolo, los riesgos aumentan, ya que los atacantes solo tienen que conseguir un préstamo flash en un token y canjearlo por otro en el DEX alterando así ambos precios: uno sube y el otro baja.
Luego, van a su protocolo de destino y usan el segundo token para pedir prestada una cantidad aún mayor del primer token, pudiendo pagar su préstamo y embolsando la diferencia a fin de esperar que el mercado corrija el precio manipulado.
Los cibercriminales pueden, por ejemplo, utilizar un exploit que aproveche una vulnerabilidad en la red blokchain que permita manipular el contrato inteligente y sacar redito propio.
Los exploits utilizados para llevar adelante ataques de flash loan buscan manipular el mercado al tomar prestados los mismos activos de múltiples plataformas de préstamos y explotar protocolos y tokens específicos.
Por otra parte, algunos atacantes aprovechan los cálculos incorrectos de los fondos de liquidez, otros intentan atacar mineros o errores de codificación, pero lo concreto es que hay una gran cantidad de ciberdelincuentes al asecho.
En este sentido, es importante entender que los contratos inteligentes tienen un control total sobre los DeFi. Esto quiere decir que una vez que los atacantes entienden su funcionamiento pueden manipular las deficiencias de un contrato y utilizarlas en su beneficio.
Según ESET, los diversos ataques en el pasado muestran que hay dos aspectos clave en los que se recomienda concentrar los esfuerzos para mitigar los riesgos: la estructura de los oráculos de precios descentralizados y la implementación de plataformas de seguridad para las DeFi.
Como la mayoría de los ataques de flash loan dependen de la manipulación de los precios, se hace necesario contrarrestar este enfoque con oráculos de precios descentralizados.
En lo que refiere a la implementación de plataformas de seguridad para las DeFi, si bien el ecosistema de las finanzas descentralizadas utiliza tecnologías de vanguardia que están cambiando las perspectivas de los sistemas financieros internacionales, también suponen una gran carga para todo el sistema.
Imagen portada: MILENIO
