Las novedades incluyen el nuevo modo de juego «wonder rush», nuevos tipos de discípulos y nuevos artefactos. El editor y desarrollador MY.GAMES se complace en anunciar hoy que el shooter de caza y extracción de tesoros HAWKED recibirá su mayor actualización hasta la fecha. Esta actualización introduce nuevos y emocionantes elementos en el juego, prometiendo una experiencia mejorada para […]
Leer másEsta edición del Auto Show de Beijing Chery dará a conocer un modelo ecológico revolucionario y una estrategia de desarrollo para todos sus usuarios a nivel global. La industria automotriz está viviendo cambios significativos debido a la rápida integración de tecnologías en diferentes aspectos de los vehículos, como la energía, el transporte y la comunicación […]
Leer másEl más reciente informe de la Asociación Automotriz del Perú (AAP) ha revelado datos alentadores para Suzuki, quien continúa consolidándose como una de las marcas preferidas por los peruanos en el sector automotriz. De acuerdo con el informe de la AAP, durante el primer trimestre del año, Suzuki se posicionó en el top 10 de […]
Leer más
ESET, compañía líder en detección proactiva de amenazas, revisa alguno de los aspectos de seguridad que rodean al mundo de los “Flash Loans” en el ecosistema de las finanzas descentralizadas (DeFi).
Un Flash Loan refiere a un tipo de préstamo en el ecosistema de las finanzas descentralizadas (DeFi) que utiliza red blockchain. Estos préstamos ofrecen fondos a los usuarios sin que estos necesiten aportar una garantía. Desde ESET, compañía líder en detección proactiva de amenazas, explican que en el último tiempo este tipo de préstamos ha tenido gran auge dado que los protocolos DeFi otorgan a los usuarios fondos para que estos puedan utilizarlos y devolverlos en una misma operación incluyendo, por supuesto, las comisiones correspondientes.
“Si bien con un préstamo de estas características no se podría acceder a la compra de un automóvil u otros bienes, son muy utilizados para realizar distintas actividades en el ecosistema cripto, como swapping colateral, trading de arbitraje, ahorro de tarifas de transacción y refinanciamiento de deuda, entre otros.”, menciona Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Si bien alrededor de estos préstamos intervienen diversos conceptos, en gran medida estos pueden llevarse a cabo debido al uso de una red blockchain. Gracias a esta tecnología es posible programar una transacción para que tome los fondos prestados, los movilice por distintos contratos inteligentes de otros protocolos, se realicen las operaciones de intercambio pertinentes, y al final de esa misma transacción el dinero del préstamo y sus comisiones sean reintegrados al protocolo inicial mientras el usuario se retira con sus ganancias.
Lo más relevante de este proceso es que todos estos movimientos se realizan en una única operación de forma instantánea y todo queda registrado en un mismo bloque de la blockchain, otorgando el beneficio a los usuarios de mantener la liquidez en su protocolo para las operaciones regulares (préstamos e intercambios) y permitiendo un nuevo modelo de préstamos que no afecten la liquidez real de su protocolo DeFi.
¿Qué es un ataque de Flash Loan?
Según ESET, respecto a los ataques más comunes apuntando a estos préstamos rápidos, el principal punto está en el abuso de la seguridad de los contratos inteligentes de una plataforma. En este sentido, un atacante puede solicitar fondos que no requieren garantía y más tarde manipular el precio de un criptoactivo en una plataforma de intercambio y revenderlo rápidamente en otra.
Los Flash Loans permiten a los usuarios tomar prestamos por grandes cantidades de activos de un fondo común de liquidez en una blockchain. Fondos que se deben devolver dentro de la misma transacción. Pero entorno a este proceso, uno de los problemas que se plantea es que esos activos pueden utilizarse para manipular el mercado con una gran operación. Al utilizar protocolos de exchanges descentralizados (DEX) que funcionan como el único oráculo de precios del protocolo, los riesgos aumentan, ya que los atacantes solo tienen que conseguir un préstamo flash en un token y canjearlo por otro en el DEX alterando así ambos precios: uno sube y el otro baja. Luego, van a su protocolo de destino y usan el segundo token para pedir prestada una cantidad aún mayor del primer token, pudiendo pagar su préstamo y embolsando la diferencia a fin de esperar que el mercado corrija el precio manipulado.
Para tomar dimensión del atractivo que representan las finanzas descentralizada para los cibercriminales, de 2020 a esta parte se reportaron unos 125 exploits utilizados para abusar de vulnerabilidades en el ecosistema de las finanzas descentralizadas que provocaron pérdidas por aproximadamente 3.900 millones de dólares.
Por otra parte, algunos atacantes aprovechan los cálculos incorrectos de los fondos de liquidez, otros intentan atacar mineros o errores de codificación, pero lo concreto es que hay una gran cantidad de ciberdelincuentes al asecho. En este sentido, es importante entender que los contratos inteligentes tienen un control total sobre los DeFi. Esto quiere decir que una vez que los atacantes entienden su funcionamiento pueden manipular las deficiencias de un contrato y utilizarlas en su beneficio.
El investigador de ESET, agrega: “En cuanto a las vulnerabilidades en los Flash Loan podemos asumir que estas no radican en los Flash Loan en sí, sino entorno a su implementación inmadura. Todas las vulnerabilidades explotadas hasta el momento estuvieron en diversos protocolos y los Flash Loan solo financiaron los ataques. Sin dudas este tipo de préstamos vino para quedarse y sentaron las bases para nuevas aplicaciones innovadoras en las finanzas descentralizadas”.
Los ataques de Flash Loan más relevantes:
Según ESET, los diversos ataques en el pasado muestran que hay dos aspectos clave en los que se recomienda concentrar los esfuerzos para mitigar los riesgos: la estructura de los oráculos de precios descentralizados y la implementación de plataformas de seguridad para las DeFi. Como la mayoría de los ataques de Flash Loan dependen de la manipulación de los precios, se hace necesario contrarrestar este enfoque con oráculos de precios descentralizados. En lo que refiere a la implementación de plataformas de seguridad para las DeFi, si bien el ecosistema de las finanzas descentralizadas utiliza tecnologías de vanguardia que están cambiando las perspectivas de los sistemas financieros internacionales, también suponen una gran carga para todo el sistema. Hoy existen plataformas específicas que abordan los actuales desafíos de seguridad, como OpenZeppelin, donde su función es proteger en todo el ecosistema de los contratos inteligentes y plataformas DeFi en su conjunto.
Otros aspectos de seguridad que se destaca en la actualidad, según ESET, son la capacidad de realizar auditorías sobre los contratos inteligentes y soluciones como Defender Sentinels. Esta última proporciona una protección continua contra los ataques de Flash Loan donde los desarrolladores pueden automatizar sus estrategias de defensa, detener rápidamente sistemas completos y desplegar correcciones para mitigar los posibles daños que puede ocasionar un ataque sobre préstamos rápidos.
“Los ataques que buscan sacar provecho de los préstamos rápidos en el ecosistema de las finanzas descentralizadas (DeFi) tienen su complejidad. Pueden resultar difíciles de comprender, ya que exigen conocer cómo funcionan los flujos de las criptofinanzas y sus tecnologías asociadas. Si bien las DeFi están todavía en sus comienzos, el ecosistema sigue madurando y se está convirtiendo en el centro de atención de muchos usuarios. Aunque el sector aún está funcionando sin un marco de pruebas adecuado y esto provocará futuras problemáticas, es un hecho también que los prestamos flash son una incorporación muy reciente al ecosistema DeFi y suponen una revolución de oportunidades.”, concluye Micucci de ESET.
Te dejaremos noticias todos los días en tu bandeja de entrada