Interesa

OPINIÓN | La otra cara de las criptomonedas: Los asaltos a las entidades descentralizadas

El buenismo tecnológico no es positivo. Las cosas nunca fueron buenas por ser las más “modernas”. Las cosas son buenas porque se hacen cosas buenas con ellas


Detrás de la red
| 6 min lectura
Simulación de criptomonedas | Shutterstock

Detrás de la red
| 6 min lectura

Vaya por delante que este artículo no pretende defender ni atacar nada. Hablaré de DEFI, de flash loan, de Smart contract, de asaltos y robos en el entorno de las criptomonedas. Pero mi intención es informar sobre cómo son las cosas. Esas cosas: los DEFI, los flash loan, los Smart contract, las criptomonedas… Cada cual, después, que decida. Me refiero a que el enfrentamiento entre el sistema financiero clásico y los sistemas financieros descentralizados basados en tecnologías como blockchain y criptomonedas ya va siendo cansino.

Cada argumento a favor o en contra de cada uno de esos dos modelos puede ser devuelto con otro del mismo peso. Si el de las criptomonedas es un mercado especulativo, también lo es el de la banca clásica. Si en la banca existen paraísos fiscales, lavado de dinero, etc., también existe en las criptomonedas. Y podría seguir así y llenar páginas y páginas…

Pero no se trata de eso. No obstante, el buenismo tecnológico no es positivo. Las cosas nunca fueron buenas por ser las más “modernas”, o estar de “moda”. Las cosas son buenas porque se hacen cosas buenas con ellas. Y yo intento explicarlas de forma sencilla. Seguro que a los expertos no les gusta, pero me permito las licencias para que todo esto tan complejo sea entendible. Insisto que, si a alguien le molesta, me disculpe.

Asaltos y criptomonedas: pérdidas millonarias

Dicho esto, los ataques a plataformas relacionadas con criptomonedas están siendo continuos en el último año. Sin ir más lejos desde 2020 hay una lista con más de 60. Algunos de los ataques identificados (en el enlace pueden corroborarlo) han sido:

  • 13 de febrero de 2021: Alpha Homora. Pérdida de 37,5 millones de dólares
  • 19 de abril de 2021: EasyFi. Pérdida de 81 millones de dólares
  • 8 de mayo de 2021: Rari Capital. Pérdida de 11 millones de dólares
  • 2 de mayo de 2021. The Spartan. Pérdida de 30 millones de dólares
  • 19 agosto 2021: Liquid. Pérdida de 94 millones de dólares
  • 30 de agosto de 2021: Cream Finance. Pérdida de 29 millones de dólares
  • 21 de septiembre de 2021: Vee Finance. Pérdida de 35 millones de dólares
  • 27 de octubre de 2021: Cream Finance. Pérdida de 130 millones de dólares
  • 5 noviembre de 2021: bZx. Pérdida de 55 millones de dólares
  • 6 de diciembre de 2021: Bitmart Pérdida de 150 millones de dólares

Una DEFI o Decentralized Finance (Finanzas Descentralizadas, en español) es básicamente la alternativa que se ofrece al funcionamiento centralizado de las finanzas clásicas propio de las entidades financieras.

Se basan en tres características: la utilización de la tecnología blockchain, criptomonedas y los Smart contract o contratos inteligentes. La idea es quitar intermediarios en estos procesos. Blockchain aporta el registro distribuido de todo lo que sucede en estas operaciones. Es decir, múltiples copias de lo que va sucediendo durante la ejecución de las mismas.

Pero hay que entender que el argumento de que este mundo es más seguro porque se utiliza esta tecnología es falso. El mundo de las criptomonedas es ajeno a los asaltos y los robos. Efectivamente, tenemos un registro distribuido y público de lo que sucede, pero no sabemos quién lo ha hecho. Por su diseño, el que la tecnología pudiera ser usada por todos implicaba un grado alto de anonimato en la misma. Por tanto, sabemos que circulan fondos entre unas carteras y otras, pero no conocemos quiénes son los propietarios.

Esto es muy conveniente para quienes quieren hacer el mal, como pueden suponer. Los Smart contract son códigos y algoritmos que son públicos y visibles por parte de todo el mundo, y que ver el procedimiento que se ejecutará en un acuerdo entre un usuario y su DEFI. Pueden ser escritos por personas, o generados por máquinas, y tiene validez per se, sin que dependa de ninguna autoridad o gobierno. 

Pueden ver un ejemplo en la imagen de instrucciones de un Smart contract básico. 

ETF Estados Unidos bitcoin

Las claves de la decisión del regulador de EEUU que permite a los fondos cotizados operar con el valor de bitcoins

Las funciones de los DEFI en las criptomonedas

Las DEFI aportan soluciones para operaciones de financiación de empresas, préstamos e intercambios de monedas. 

Un ejemplo de funcionamiento sería un préstamo. Los usuarios de una DEFI depositan sus fondos, que son manejados de forma automática y autónoma por un Smart contract. Como compensación, reciben los intereses que se generen en los préstamos que se efectúen. Por su parte, quienes necesitan un préstamo acceden a la plataforma y, sin tener que dar garantías o documento alguno, les son concedidos.

Una vez devueltas las cantidades además pagarán unos intereses que también se calculan automáticamente. La desaparición de intermediarios, como son los controles gubernamentales y regulaciones, tiene sus ventajas para los usuarios. Es posible, por ejemplo, conseguir un préstamo sin tener una cuenta bancaria clásica, y el acceso a todos estos servicios sin más que una conexión a internet. Ahora bien, también tiene sus inconvenientes.

Problemas de seguridad: DEFI , asaltos y criptomonedas

Los problemas de seguridad que han motivado estos robos y asaltos incluyen el robo de las claves de dichas DEFI, con lo que el atacante tiene acceso directamente a los fondos. Se han comprobado algunos casos en los que el acceso a estas claves fue facilitado por un atacante descontento. Otros estaban relacionados con Smart contract vulnerables debido a una mala programación. Es decir, se codificaron de una manera negligente.

Pero la mayor cantidad de ellos se debían a lo que conocemos como flash loan o préstamos rápidos, que creo es un buen ejemplo de la inseguridad que se puede generar en estos entornos.

identidad digital europea

Qué es la Identidad digital europea: mucho más que una firma electrónica que será «obligatoria de facto» para 440 millones de europeos

Como he explicado, en los préstamos en las DEFI no es necesario un aval o una garantía. Esto es posible porque teóricamente los préstamos y las devoluciones se producen en la misma transacción, y el primero no sucede si no se ha completado este retorno de la cantidad solicitada.

Esto, lo reconozco, es un poco complejo explicar, acostumbrados como estamos a que en la banca tradicional se nos pida avales y documentos de todo tipo para que nos presten una cantidad. Pero les pondré un ejemplo. Para que un préstamo rápido suceda debe completarse tres sucesos en lo que llamamos transacción: 

  • El préstamo de la cantidad 
  • Lo que se quiera hacer con ella (una inversión o una operación financiera)
  • Y el retorno de la cantidad prestada y los intereses

Criptomonedas: cómo se especula

Si no se completa alguna de esas fases transcurrido el tiempo simplemente la transacción no tiene efecto y no es registrada en ninguna parte y los fondos nunca salen de la DEFI que los prestó. Es decir, no puedes pedir un préstamo, comprar algo y no devolverlo en plazo porque simplemente nunca habrás tenido la cantidad que gastaste hasta que la devuelvas. Un uso normal de estos prestamos es solicitarlo, comprar una cantidad de una cripto moneda en el sitio donde está cotizando más barato y venderlo en otra donde su precio es más alto, devolver el préstamo y quedarse con el beneficio.

Todo legal. Especulación al poder. 

Parece seguro, pero los ciberdelincuentes buscan constantemente formas de completar los préstamos. Una de las formas es especulando y alterando los mercados de forma artificial. Uno de los ataques puede explicar cómo lo hacen. Un ciberdelincuente solicitó un préstamo rápido. A continuación, convirtió una cantidad de lo prestado en una cibermoneda que estaba valorada en 1 (para simplificar valores). Luego, lanzó una orden de compra de esa misma moneda que inmediatamente y automáticamente subió su valor a 2. Entonces solicitó otro préstamo por una cantidad mucho más grande debido a que el valor era 2, devolvió el primer préstamo y se dio a la fuga con el beneficio.

Otras veces, simplemente, una decisión errónea del CEO de una DEFI, o una mala ejecución de sus protocolos acaba con él mismo pidiendo por favor a sus usuarios que devuelvan los 150 millones de dólares que inyectó por equivocación a los mismos.

Criptomonedas y asaltos: ¿Tecnología al servicio de la especulación?

Como pueden comprobar, la tecnología puede ser puesta al servicio de la especulación y la alteración del mercado. No quiero decir que todo el mundo llegue a ese extremo, pero es claramente ideal para ello. Y eso a pesar de que todo queda registrado y distribuido. En definitiva, uno lo que obtiene es una copia enorme de como lo engañaron. 

Esta utilización torticera de los flash loan permite que los mercados puedan ser alterados por cualquiera prácticamente sin coste, cuando antes esto solo lo podía hacer gente que disponía de enormes cantidades de estos fondos.

Los préstamos rápidos no son los responsables de un mal uso. Lo son las personas.

Esa búsqueda contínua de las vulnerabilidades en los distintos protocolos y contratos de las DEFIs, que cada vez son más numerosas, son una nueva área que, como han visto al principio de este artículo, está siendo explotada al máximo por ciberdelincuentes para robar y desviar enormes cantidades de monedas. Pero, ¿y los usuarios? ¿Qué ocurre con esos fondos?

El ejemplo de responsabilidad de Bitmart

Por ejemplo, Bitmart decidió cubrir las pérdidas de las aportaciones de sus usuarios con fondos de la compañía. En otras, es común que después de producirse estos ataques se abran nuevas rondas de inversores solicitando más capital para cubrir las pérdidas. A veces se consigue, otras veces no.

Como he contado, en algún caso el atacante devolvió la cantidad a cambio de compensaciones, incluso ser contratado como asesor de seguridad por una cantidad enorme. Una DEFI que fue atacada durante tres años decidió pedir por favor a los hackers que devolvieran los fondos y a cambio ellos les darían el 10% de lo robado como un “premio” por haber descubierto un fallo en su plataforma.

El hecho es que a veces a los usuarios se les reembolsa, a veces se les reembolsa parcialmente… Y a veces la empresa quiebra. Incluso en una ocasión un hacker devolvió todo el dinero. 

Por no cansarlos, si este artículo sobre los asaltos y robos y las criptomonedas les ha parecido complejo, difícil de comprender, lo siento. Les juro que he intentado explicarlo de la manera más sencilla sin perderme en detalles que lo compliquen. Si es así les pido algo personalmente: que antes de hacer cualquier inversión atraídos por las sirenas se informen. Nadie regala nada. No existe el chollo definitivo solo al alcance de unas pocas mentes privilegiadas.

Sean sensatos. Los asaltos existen en el mundo de las criptomonedas. Aprendan, conozcan y luego decidan. Pero con la información.

Yo al menos lo he intentado.

Más en Newtral
Siguiente