Compound Finance es solo una de las últimas víctimas de incidentes de hacking de DeFi en 2021. El 30 de septiembre, su bug de token errante de distribución dentro de la Propuesta 062 expuso una falla en la que USD 70 millones - USD 85 millones en tokens COMP en exceso se distribuyeron incorrectamente a usuarios.

Sin embargo, unos USD 65 millones adicionales se colocaron en una bóveda vulnerable unos días después, lo que resultó en al menos USD 150 millones en tokens COMP en riesgo. Pero, si bien Compound pudo remediar toda la situación, muestra cuán vulnerable puede ser el sector de las finanzas descentralizadas (DeFi) a veces debido a su origen.

El año pasado, el valor total bloqueado (TVL) en DeFi fue solo el 5% de su valor actual: USD 255 mil millones. El cambio marca un crecimiento explosivo del 1686%. Incluso con la debacle de Compound, y más recientemente con la plataforma de comercio descentralizada BXH drenada de USD 139 millones de un ataque debido a una clave de administrador filtrada, el TVL en realidad aumentó durante el último mes, apreciándose en un 14.27%.

Una de las razones por las que los inversores han acudido en masa a los protocolos de DeFi es la búsqueda de mayores rendimientos. Las tasas de interés más bajas de 2020 carecían de un marco claro para un aumento, lo que hizo que los inversores buscaran otras vías para alojar su efectivo. Bloquear los criptoactivos a los protocolos DeFi y proporcionar liquidez para dichos servicios se convirtió en una opción atractiva, ya que ofrece retornos más atractivos. Lo que siguió fue un boom de yield farming en 2020 que prevaleció hasta este año.

Contando los incidentes

La creciente popularidad de DeFi es un arma de doble filo para el sector joven y para todo el espacio de las criptomonedas en su conjunto. Desde 2012, se han producido 534 incidentes de hacking de cadenas de bloques, de los cuales 169 se producirán solo en 2021, según la firma china de ciberseguridad Slow Mist. Los hacks aumentan en sofisticación y se dirigen a varias áreas del espacio.

Sin embargo, el mayor hackeo que jamás haya tenido lugar ocurrió en 2021 y fue llevado a cabo por un hacker desconocido en el protocolo de cadena cruzada Poly Network. El resultado fue un equivalente a USD 610 millones en tokens robados, superando a MtGox y Coincheck. El ataque se embolsó alrededor de USD 273 millones de la red Ethereum, USD 85 millones en USD Coin (USDC) de la red Polygon y USD 253 millones de Binance Smart Chain. También eliminó cantidades considerables de renBTC, wrapped Bitcoin (wBTC) y wrapped Ether (wETH).

El incidente con Poly Network es uno de los muchos casos de hacks de DeFi en 2021. Poly Network tuvo la suerte de recuperar todos los fondos. Cream Finance, por otro lado, no tuvo tanta suerte. El protocolo de préstamos descentralizados llega en un segundo remoto, y el ataque que recibió, que fue dos veces este año, eliminó casi USD 150 millones y todavía está tratando de recuperarse. En general, la cantidad total de dinero perdido debido al hacking de blockchain este año es de casi USD 7 mil millones, que es un aumento de USD 2.5 mil millones con respecto al año pasado.

Convocatorias de auditoría

Poly Network, Compound y Cream Finance se ubicaron entre los tres primeros por la cantidad de fondos afectados (por un total de USD 906 millones). Al igual que Cream Finance, también hay otros protocolos notables en los que se produjeron exploits más de una vez en el mismo año, como THORChain y Value DeFi.

Además, aunque insignificante a USD 1.5 millones en contraste con los fondos afectados del resto de las otras víctimas, Merlin Labs, un optimizador de rendimiento construido en BSC, fue atacado tres veces, inicialmente dos veces en la misma semana y una vez más un mes después. Además, lo sorprendente es que Hacken lo auditó 11 días antes del ataque.

Los expertos en seguridad recomiendan un contrato inteligente para someterse a una auditoría, generalmente a través de auditores independientes. Una auditoría podría ayudar a detectar y posiblemente rectificar vulnerabilidades inteligentes en el código y verificar la confiabilidad de las interacciones del contrato inteligente.

El CEO de Kava Labs, Brian Kerr, le dijo a Cointelegraph en mayo de 2020 lo importante que es para cualquiera que quiera usar un protocolo DeFi verificar primero las auditorías y las revisiones por pares. Pero incluso entonces, advierte sobre los riesgos técnicos y de mercado asociados, ya que el sector, nuevamente, es todavía nuevo.

Entre los proyectos que fueron víctimas de ataques este año, solo se auditaron unos 15 protocolos DeFi de los 40 afectados. Pero vale la pena señalar que los fondos afectados para los protocolos auditados fueron significativamente menores que los que no fueron auditados. Para cada empresa auditada, la cantidad de pérdida fue casi un 60% menor que la de las no auditadas. En total, el 20.3% de los fondos afectados en todos los protocolos hackeados este año fueron de protocolos que fueron auditados, mientras que el 79.67% o alrededor de USD 1.3 mil millones fueron de aquellos que no fueron auditados.

Las cuatro razones principales por las que los protocolos DeFi son hackeados incluyen errores de codificación, incompetencia del desarrollador, uso indebido de protocolos de terceros y errores de lógica empresarial. El más común de estos y posiblemente el más peligroso es la incompetencia del desarrollador, que también es una consecuencia directa de los errores de codificación. Los desarrolladores con una calificación inadecuada que se apresuran a lanzar un proyecto sin una verificación rigurosa por parte de un tercero podrían ser más susceptibles a las vulnerabilidades.

Esta es la razón por la que existe un impulso continuo para una medida adicional para mejorar los protocolos de seguridad en la industria. Las auditorías, en particular las auditorías de seguridad de contratos inteligentes y las auditorías secundarias, son solo dos formas de lograrlo. Como dijo Kerr, la diligencia técnica de un inversor también está justificada para analizar un protocolo DeFi antes de invertir.

Aun así, la luz al final del túnel es que estos hacks podrían ser esenciales para hacer avanzar el sector DeFi. El analista financiero jefe de CipherTrace, John Jefferies, le dijo a Cointelegraph en agosto que tales delitos provocarán una aceleración de la aceptación del procedimiento de conocer a su cliente, o KYC, particularmente con los exchanges descentralizados, o DEX, que pueden ser fundamentales para obtener la aprobación regulatoria.

A medida que DeFi madura, especialmente con el advenimiento de las cadenas de bloques de capa uno que compiten contra Ethereum, los eventos de hacking en los últimos tiempos son quizás solo la punta del iceberg, y los protocolos mal diseñados y no auditados podrían estar en un montón de problemas.

El boletín Market Insights de Cointelegraph comparte nuestro conocimiento sobre los fundamentos que mueven el mercado de activos digitales. El boletín se sumerge en los datos más recientes sobre el sentimiento de las redes sociales, métricas on-chain y derivados.

También revisamos las noticias más importantes de la industria, incluidas las fusiones y adquisiciones, los cambios en el panorama regulatorio y las integraciones de blockchain empresarial. Regístrese ahora para ser el primero en recibir esta información. Todas las ediciones anteriores de Market Insights también están disponibles en Cointelegraph.com.

Sigue leyendo: