El ataque de "préstamos flash" de DeFi que lo cambió todo

Haseeb Qureshi es socio director de Dragonfly Capital, un fondo de capital de riesgo transfronterizo de Cripto . Puede encontrar una versión más extensa del artículo en Medio.

Los préstamos flash han sido el centro de atención últimamente. Recientemente, dos hackers los utilizaron para atacar el protocolo de trading con margen bZx, primero en...Ataque de $350,000 y luego un ataque de imitación de $600,000.

Estos ataques fueron, en una palabra, magníficos. En cada ataque, un atacante sin dinero tomó prestados instantáneamente cientos de miles de dólares.ETHLo encadenaron a través de una cadena de protocolos vulnerables en la cadena, extrajeron cientos de miles de dólares en activos robados y luego devolvieron sus enormes préstamos de ETH . Todo esto ocurrió en un instante, es decir, en una sola transacción de Ethereum .

T quiénes fueron estos atacantes ni de dónde vinieron. Ambos empezaron prácticamente sin nada y se llevaron cientos de miles de dólares. Ninguno dejó rastros que permitieran identificarse.

Tras estos ataques, he estado reflexionando mucho sobre los préstamos flash y sus implicaciones para la seguridad de las DeFi. Creo que vale la pena reflexionar públicamente sobre esto.

En resumen: Creo que los préstamos flash representan una gran amenaza para la seguridad. Sin embargo, no van a desaparecer, y debemos reflexionar sobre su impacto en la seguridad de las DeFi en el futuro.

¿Qué es un préstamo flash?

El concepto de préstamo flash fue acuñado por primera vez porProtocolo de mármolEn 2018, Marble se comercializó como un “banco de contratos inteligentes” y su producto era una innovación DeFi simple pero brillante: préstamos sin riesgo a través de un contrato inteligente.

¿Cómo puede un préstamo tener riesgo cero?

Los prestamistas tradicionales asumen dos tipos de riesgo. El primero es el riesgo de impago: si el prestatario se fuga con el dinero, obviamente es una lástima. Pero el segundo riesgo para un prestamista es el riesgo de iliquidez: si un prestamista presta demasiados activos en el momento equivocado o no recibe los reembolsos a tiempo, podría encontrarse inesperadamente iliquido e incapacitado para cumplir con sus propias obligaciones.

Los préstamos rápidos mitigan ambos riesgos. Un préstamo rápido funciona básicamente así: te prestaré todo el dinero que quieras para esta única transacción. Pero al final de esta transacción debes pagarme al menos la misma cantidad que te presté. Si no puedes hacerlo, ¡revertiré automáticamente tu transacción! (Sí, los contratos inteligentes pueden...)Haz eso.)

En pocas palabras, su préstamo flash es atómico. Si no paga el préstamo, todo se revierte como si el préstamo nunca hubiera existido.

Algo así solo podría existir en las cadenas de bloques. No se podrían realizar préstamos flash en, por ejemplo, BitMEX. Esto se debe a que las plataformas de contratos inteligentes procesan las transacciones una a una, por lo que todo lo que ocurre en una transacción se ejecuta en serie como una operación por lotes. Esto se puede considerar como el "tiempo de congelación" de la transacción mientras se ejecuta. Un intercambio centralizado, por otro lado, puede tener condiciones de carrera tales que una parte de la orden no se ejecuta. En la cadena de bloques, se garantiza que todo el código se ejecute ONE tras línea.

Pensemos un momento en la economía. Los prestamistas tradicionales reciben una compensación por dos cosas: el riesgo que asumen (riesgo de impago y riesgo de iliquidez) y el coste de oportunidad del capital que prestan (por ejemplo, si puedo obtener un 2% de interés sobre ese capital en otra parte, el prestatario debe pagarme más que el 2% sin riesgo).

Los préstamos flash son diferentes. ¡No tienen riesgo ni costo de oportunidad! Esto se debe a que el prestatario congeló el tiempo durante la vigencia de su préstamo flash, por lo que, para cualquier otra persona, el capital del sistema nunca estuvo en riesgo ni gravado, por lo que no podría haber generado intereses en otras fuentes (es decir, no tuvo costo de oportunidad).

Esto significa, en cierto sentido, que ser un prestamista flash no tiene ningún coste. Esto es profundamente contraintuitivo. Entonces, ¿cuánto debería costar un préstamo flash en equilibrio (es decir, cuando la demanda y la oferta del mercado se equilibran)?

En esencia, los préstamos flash deberían ser gratuitos. O, mejor dicho, debería haber una comisión lo suficientemente pequeña como para amortizar el coste de incluir tres líneas de código adicionales para que un activo sea susceptible de préstamo flash.

Los préstamos flash no pueden cobrar intereses en el sentido tradicional, ya que el préstamo tiene una vigencia de cero (cualquier TAE * 0 = 0). Y, por supuesto, si los prestamistas flash cobraran tasas más altas, se verían rápidamente superados por otros grupos de préstamos flash con tasas más bajas.

Los préstamos rápidos convierten el capital en una verdadera mercancía. Esta competencia descontrolada inevitablemente resulta en comisiones nulas o mínimas. DYDX [plataforma de negociación] actualmente no cobra comisiones por los préstamos rápidos. Aave, por otro lado, cobra un 0,09 % sobre el capital principal de los préstamos rápidos. Sospecho que esto no es sostenible y, de hecho, su comunidad ha... Pidió reducir las tarifas a cero(Tenga en cuenta que ninguno de los ataques que vimos utilizó Aave como su fondo de préstamos flash).

Los ataques Flash tienen grandes implicaciones de seguridad

Cada vez estoy más convencido de que lo que realmente desencadenan los préstamos flash son ataques relámpago: ataques intensivos en capital financiados por préstamos flash. Vimos los primeros indicios de esto en los recientes ataques a bZx, y sospecho que esto es solo la punta de la lanza.

Hay dos razones principales por las que los préstamos flash son especialmente atractivos para los atacantes.

1. Muchos ataques requieren una gran inversión inicial (como los ataques de manipulación de oráculos). Si estás obteniendo un retorno de la inversión (ROI) positivo sobre 10 millones de dólares en ETH, probablemente no se trate de arbitraje; probablemente estés tramando algo sin sentido.

2. Los préstamos rápidos minimizan la posibilidad de que los atacantes corran riesgos. Si tengo una idea para manipular un oráculo con 10 millones de dólares en ether, incluso si poseo esa cantidad, quizá no quiera arriesgarme con mi propio capital. Mi ETH se contaminará, las plataformas de intercambio podrían rechazar mis depósitos y será difícil blanquearlo. ¡Es arriesgado! Pero si solicito un préstamo rápido de 10 millones de dólares, ¿a quién le importa? Todo son ventajas. No es que el fondo de garantía de DYDX se considere contaminado porque de ahí proviene mi préstamo; la contaminación de DYDX simplemente desaparece.

Puede que no te guste que la inclusión de exchanges en listas negras forme parte del modelo de seguridad blockchain actual. Es bastante impreciso y centralizado. Pero es una realidad importante que fundamenta el cálculo detrás de estos ataques.

En el Bitcoin libro blancoSatoshi afirmó famosamente queBitcoin (BTC) está protegido contra ataques porque:

“[El atacante] debería encontrar más rentable seguir las reglas […] que socavar el sistema y la validez de su propia riqueza”.

Con los préstamos rápidos, los atacantes ya no tienen que arriesgar nada. Estos préstamos reducen considerablemente los riesgos para un atacante.

Y recuerda, ¡los préstamos flash se acumulan! Sujeto al límite de GAS , podrías agrupar literalmente todos los fondos prestables flash en una sola transacción (más de $50 millones) y concentrar todo ese capital en un solo contrato vulnerable. Es un ariete de $50 millones que ahora cualquiera puede estrellar contra cualquier piñata en cadena, siempre y cuando salga dinero. Esto da miedo.

¿Qué significa todo esto a largo plazo?

Creo que los ataques de bZx cambiaron las cosas.

Este no será el último ataque relámpago. El segundo ataque bZx fue el primero en imitarlo, y sospecho que desencadenará una oleada de ataques en los próximos meses. Ahora, miles de adolescentes inteligentes de los rincones más remotos del mundo están hurgando en todos estos legos de DeFi, examinándolos con lupa, intentando descubrir si hay alguna forma de llevar a cabo un ataque relámpago. Si logran explotar una vulnerabilidad, ellos también podrían ganar cientos de miles de dólares, una suma que cambiaría la vida en la mayor parte del mundo.

Para los protocolos, los ataques flash significan que el modelo de amenaza ha cambiado. Ser atacado por un ataque flash después de los ataques a bZx será tan vergonzoso como ser atacado por...reingreso Tras el hackeo de DAO: serás el hazmerreír de las Cripto. Deberías haberlo visto venir.

Por último, estos episodios me han hecho pensar en un viejo concepto en el Cripto: valor extraíble por los mineros (MEV)MEV es el valor total que los mineros pueden extraer de un sistema blockchain. Esto incluye recompensas y comisiones por bloque, pero también formas más engañosas de extracción de valor, como reordenar transacciones o insertar transacciones fraudulentas en un bloque.

En resumen, deberías considerar todos estos ataques flash como transacciones individuales en el mempool que generan muchísimo dinero. Por ejemplo, el segundo ataque a bZx generó una ganancia de $645,000 en ETH en una sola transacción. Si eres minero y estás a punto de empezar a minar un nuevo bloque, imagina mirar las transacciones del bloque anterior y preguntarte: "¿Qué? ¿Por qué voy a intentar minar un nuevo bloque por unos $500, si ese último bloque contiene $645,000 de ganancia?".

Todavía estamos lejos de tener una arquitectura sostenible para construir el sistema financiero del futuro.

En lugar de extender la cadena, te conviene retroceder e intentar reescribir la historia para que fueras el atacante instantáneo. Piénsalo: ¡esa transacción por sí sola valió más de cuatro horas de bloques de Ethereum minados honestamente!

Esto es similar a tener un superbloque especial que contiene 1000 veces la recompensa del bloque normal: tal como se espera, el resultado racional de dicho superbloque debería ser una pila de mineros compitiendo para dejar huérfana la punta de la cadena y robar ese bloque para sí mismos.

En equilibrio, todos los ataques flash deberían ser extraídos finalmente por los mineros. (Cabe destacar que también deberían acabar robando todo el arbitraje y las liquidaciones en cadena). Irónicamente, esto servirá como elemento disuasorio contra los ataques flash, ya que impedirá que los atacantes moneticen el descubrimiento de estas vulnerabilidades. Quizás, con el tiempo, los mineros empiecen a solicitar código de ataque a través de canales privados y paguen al posible atacante una comisión por descubrimiento. Técnicamente, esto podría hacerse sin confianza mediante pruebas de conocimiento cero. (¿Qué raro, verdad?)

Pero todo eso es ciencia ficción por ahora. Obviamente, los mineros no hacen esto hoy en día.

¿Por qué no lo son?

Hay muchísimas razones. Es difícil, requiere mucho trabajo, simular la Máquina Virtual de Ethereum es un desastre, es arriesgado, habría errores que resultarían en la pérdida de fondos o bloques huérfanos, causaría un escándalo y el grupo de minería clandestino podría tener una crisis de relaciones públicas y ser tildado de "enemigo de Ethereum". Por ahora, los mineros probablemente perderían más en negocio y bloques huérfanos que lo que ganarían al intentar hacer esto.

Eso es cierto hoy. No lo será por mucho tiempo.

Esto es una motivación más para que Ethereum se apresure a migrar a Ethereum 2.0. Las DeFi en Ethereum, si bien son asombrosas y fascinantes, están total e irremediablemente rotas. Las DeFi no son estables en una cadena PoW, porque todas las transacciones de alto valor están sujetas a la reapropiación de los mineros (también conocida como... ataques de bandidos del tiempo).

Para que estos sistemas funcionen a gran escala, se necesita firmeza: la imposibilidad de que los mineros reescriban bloques confirmados. Esto protegerá los bloques anteriores de la reapropiación. Además, si los protocolos DeFi existen en fragmentos separados de Ethereum 2.0, no serán vulnerables a ataques flash.

En mi opinión, los ataques relámpago nos sirven como un pequeño pero útil recordatorio de que aún estamos en las primeras etapas. Aún estamos lejos de tener una arquitectura sostenible para construir el sistema financiero del futuro.

Por ahora, los préstamos flash serán la nueva normalidad. Quizás, a largo plazo, todos los activos en Ethereum estén disponibles para préstamos flash: todas las garantías de las plataformas de intercambio, de Uniswap, y quizás incluso todos los ERC-20.

Quién sabe, son solo unas pocas líneas de código.