Los préstamos rápidos o “Flash Loans”, cada vez más populares en el ecosistema de las finanzas descentralizadas (DeFi), están atraindo tanto a inversores como a ciberdelincuentes, según advierte ESET. Este nuevo modelo de préstamos sin garantía ha experimentado un notable crecimiento, en gran parte gracias a los protocolos DeFi que permiten a los usuarios obtener fondos, utilizarlos y devolverlos en una misma operación.
“Si bien con un préstamo de estas características no se podría acceder a la compra de un automóvil u otros bienes, son muy utilizados para realizar distintas actividades en el ecosistema cripto, como swapping colateral, trading de arbitraje, ahorro de tarifas de transacción y refinanciamiento de deuda, entre otros”, señala Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
¿Cómo funcionan los flash loans?
El funcionamiento de los Flash Loans es posible gracias a la tecnología blockchain, que permite programar una única transacción instantánea en la que los fondos prestados son movilizados, intercambiados y, finalmente, devueltos junto con las comisiones correspondientes. El usuario se retira con sus ganancias, mientras que los movimientos quedan registrados en un mismo bloque de la blockchain, permitiendo así mantener la liquidez en su protocolo.
Sin embargo, esta innovación financiera también ha abierto la puerta a nuevos riesgos. Los atacantes pueden abusar de la seguridad de los contratos inteligentes para solicitar fondos sin garantía, manipular el precio de un criptoactivo y revenderlo rápidamente. Según datos de ESET, desde 2020 hasta la fecha se han registrado unos 125 exploits, que han provocado pérdidas por aproximadamente 3.900 millones de dólares.
Los fallos más comunes en la programación de contratos inteligentes se aprovechan en estos ataques, manipulando el mercado al pedir prestados activos de múltiples plataformas de préstamos y explotando protocolos y tokens específicos. A menudo, los atacantes manipulan las deficiencias de un contrato para su beneficio.
Micucci añade que “las vulnerabilidades no están en los Flash Loans en sí, sino en su implementación inmadura”. Algunos de los ataques más significativos han sido a Cream Finance, con pérdidas de $130 millones, al protocolo Alpha Homora, con $37 millones de pérdidas, y a PancakeBunny, donde se robaron cerca de $3 millones. El ataque más grande hasta la fecha ocurrió en agosto de 2021 cuando los atacantes sustrajeron $611 millones de Poly Network.
Para minimizar estos riesgos, ESET recomienda centrar los esfuerzos en la estructura de los oráculos de precios descentralizados y en la implementación de plataformas de seguridad para las DeFi. Herramientas como OpenZeppelin y Defender Sentinels son algunos de los recursos disponibles para mejorar la seguridad de los contratos inteligentes.
“Los ataques que buscan sacar provecho de los préstamos rápidos en el ecosistema de las finanzas descentralizadas (DeFi) tienen su complejidad. Pueden resultar difíciles de comprender, ya que exigen conocer cómo funcionan los flujos de las criptofinanzas y sus tecnologías asociadas. Si bien las DeFi están todavía en sus comienzos, el ecosistema sigue madurando y se está convirtiendo en el centro de atención de muchos usuarios. Aunque el sector aún está funcionando sin un marco de pruebas adecuado y esto provocará futuras problemáticas, es un hecho también que los prestamos flash son una incorporación muy reciente al ecosistema DeFi y suponen una revolución de oportunidades”, concluye Micucci.
Escucha Dale Play en Spotify. Sigue el programa todos los lunes en nuestras plataformas de audio disponibles.