La financiación descentralizada, o DeFi para abreviar, se convirtió en una palabra de moda en 2019 tras las valoraciones de MakerDao y Compound, después de que ambas empresas obtuvieran rondas considerables de Andreessen Horowitz, la empresa de capital riesgo de élite con sede en Silicon Valley.
2020 ha sido un año difícil para el sector DeFi con criptos, que se las ha visto en aprietos. Durante el fin de semana, el protocolo de ecosistema Lendf.me de dForce perdió el 99.95% de sus fondos por un hackeo. Sólo unos días después, el hacker filtró información sobre su identidad, que resultó en la devolución de la mayoría de los fondos robados. Esta noticia llega después de la gran prueba que atravesó DeFi el 12 de marzo, cuando el precio de Ether (ETH) cayó bruscamente, causando que los sistemas se estresaran demasiado y fallaran. El gran perdedor de ese día fue MakerDao, cuya pobre arquitectura e infraestructura quedó expuesta debido a las limitaciones de la red del Ethereum.
La principal plataforma de financiación descentralizada MakerDao acumuló una deuda que tuvo que ser saldada con el dinero de su empresa de capital de riesgo. Un mes más tarde, la paridad de DAI con el dólar estaba experimentando problemas de estabilidad y se presentó una demanda colectiva de 28.3 millones de dólares contra la Fundación Maker en el Tribunal de Distrito del Norte de California por negligencia. Los usuarios quieren que les devuelvan su dinero.
El 18 de abril, 25 millones de dólares en Ether and Bitcoin (BTC) fueron robados a los usuarios del protocolo de préstamo Lendf.me. Lendf es un protocolo con problemas de seguridad y es parte del ecosistema de la Fundación dForce. Sorprendentemente, fue capaz de recuperar casi todos los fondos del atacante que aprovechó la brecha de reingreso en su protocolo, mientras finalmente devolvía casi todo el dinero que había robado. Después de drenar 25 millones de dólares, el hacker devolvió USD 24 millones, quedándose con 1 millón para él mismo para... ya sabes, tal vez las tasas de combustible y estos difíciles tiempos del COVID-19.
Irónicamente, el hacker no devolvió la misma mezcla de activos que fue robó, en su lugar devolvió los 24 millones de dólares en una combinación diferente de tokens de criptomoneda. Esto sucedió inmediatamente después de la noticia de que la Fundación dForce cerró una ronda de 1.5 millones de dólares liderada por Multicoin Capital, con la participación de Huobi Capital y CMB International la semana pasada. Podemos asumir que estos fondos van a cubrir las pérdidas del hackeo.
Hablé con dos CEO DeFi de Compound Finance y Kava Labs para preguntarles acerca de su experiencia con dForce y qué lecciones clave puede enseñar el hackeo a la comunidad DeFi.
Brian Kerr, el CEO de Kava Labs, la plataforma de préstamos DeFi, habló con Cointelegraph sobre lo que salió mal con dForce y permitió que este hackeo procediera. A mediados de 2019, Kava anunció su stablecoin USDX. Poco después, dForce lanzó el teletipo de su stablecoin como USDx. El uso del teletipo USDX de Kava muestra la limitada creatividad de dForce, que probablemente se extiende también a su código y talento técnico. Robert Leshner, CEO de Compound Finance, una empresa de préstamos DeFi, habló personalmente con Cointelegraph en una entrevista, después de su tuit sobre el hackeo de 25 millones de dólares y afirmando que la empresa robó un código que se reconoce como el de Compound.
Durante la entrevista telefónica con Cointelegraph, Leshner explicó:
"Construir en cadena es despiadado; la seguridad requiere toda la atención del equipo. Cuando los equipos redistribuyen el código que no han escrito, hace imposible saber cómo o por qué el código funciona, o cuáles son los riesgos... cualquier otra cosa es una injusticia para los usuarios. Y los usuarios deberían exigir más".
Tristemente, dForce se ha convertido en un ejemplo de lo que el DeFi no debería ser.
Entonces, ¿qué necesitas saber?
En el caso tanto de MakerDao como de dForce, lo que comenzó como un desastre está ahora en proceso de ser resuelto. Aunque todavía no se ha contabilizado una suma significativa de los fondos, la experiencia ha dejado a los usuarios buscando plataformas alternativas de préstamo DeFi en las que puedan confiar realmente. Muchos usuarios han perdido fondos, y muchos otros se sienten cautelosos simplemente por leer las noticias sobre DeFi en estos días, incluso si su dinero no ha sido comprometido por MakerDao o dForce. Como un subcampo dentro del espacio cripto, DeFi todavía es muy joven.
¿Fue realmente responsabilidad de dForce?
Leshner dijo que la firma dForce "copió y pegó Compound v1 sin hacerle cambios". Según Leshner, la empresa alega que el código Compound v1 "no tenía defectos", pero que el grupo fue cauteloso con el activo que incluyó en la lista, según sus tuits. El equipo de dForce copió el código que no entendía del todo de Compound y lo desplegó ilegalmente como propio mientras cambiaba algunas partes, sin darse cuenta de los problemas de seguridad involucrados, según Leshner.
Kerr también dio su opinión. Kava Labs: una plataforma de préstamos DeFi similar a MakerDao, pero mientras que MakerDao sólo acepta tokens ETH, la plataforma Kava acepta cualquier activo incluyendo Bitcoin, Ripple (XRP), Binance Coin (BNB) y Cosmos (ATOM), que puede ser usado para acuñar USDX, la stablecoin de la plataforma. Estos hitos en el desarrollo de la plataforma fueron previos a que dForce se apropiara del nombre USDX para su propia stablecoin. Kerr compartió que Kava tiene como objetivo que USDX se convierta en un actor importante en el sistema financiero mundial.
Basándose en lo que dijo Kerr a Cointelegraph y en su respuesta a Leshner en Twitter, dForce hizo un gran esfuerzo para comercializar Lendf.me por todo el mundo sin haber realizado primero auditorías muy básicas: "Una auditoría básica de cualquier empresa de renombre habría captado esto, la capacidad de volver a entrar es un problema conocido y fácilmente comprobable. Además de robar el código de Compound, DForce también robó el nombre y el teletipo del token USDX de Kava, a pesar de que anunciamos nuestro teletipo muchos meses antes de que ellos siquiera tuvieran una plataforma". Kerr admitió: "Es un terrible ejemplo de lo que DeFi no debería ser".
Como la confianza es la base más central e importante para una relación entre una persona y su dinero, Kerr cree que la responsabilidad fue "tanto del equipo de dForce como de los usuarios de la aplicación". Continuó:
"dForce no entendía lo que estaba haciendo y comercializó un producto inseguro. Los usuarios no hicieron su propia diligencia sobre el equipo o la base de código para determinar si el producto es seguro para su uso."
DeFi no debería ser impertinente
Como informó anteriormente Cointelegraph, el hacker de dForce usó el token imBTC como el "caballo de Troya" del ataque, es decir, como un envoltorio de Ethereum para Bitcoin. Leshner explicó que el error de seguridad provenía de un conocido ataque de reentrada: "Este es un ataque de seguimiento al ataque imBTC Uniswap de ayer". Continuó diciendo, "el imBTC es un token ERC-777 y no un activo normal de Ethereum. Los contratos inteligentes que incluyen imBTC tienen que ser extra cautelosos y escribir código adicional para protegerse de los ataques de reentrada".
Se considera que ésta es una vulnerabilidad bien conocida del estándar común ERC-20, especialmente cuando se utiliza en el contexto DeFi.
DeFi no debería estar en Ethereum
La arquitectura de la red Ethereum no satisface las necesidades de escalamiento y seguridad del sector DeFi, ya que el nivel de pruebas requerido para lograr todos los resultados es infinito en el lenguaje de programación Solidity, según Kerr. "Por estas razones y muchas otras, proyectos líderes como Binance, Cosmos y Kava han elegido dejar el ecosistema Ethereum por pastos más verdes", dijo.
"Construir cualquier servicio financiero en la Red Ethereum es problemático para la seguridad. Probar los posibles resultados y errores de Solidity es casi imposible, ya que puede hacer virtualmente cualquier cosa como un Lenguaje Completo de Turing. Aunque es poderoso, es probablemente el peor entorno para construir una infraestructura financiera", declaró Kerr, quien considera que una de las propuestas de valor de Kava es que está arraigada en las normas de seguridad como una plataforma construida a propósito para todos los activos que requieren servicios DeFi seguros como prioridad principal.
DeFi sdebe ser seguro y estar protegido
Lendf se llama a sí mismo, "El mayor protocolo de préstamo DeFi con stablecoin respaldada por fiat". El problema es que Lendf estaba demasiado centrado en el salto a la fama por la recaudación de capital, el crecimiento y la expansión como para mantener su más grande, mejor y "mayor stablecoin respaldada por fiat". En lugar de centrarse en mejorar el código para la seguridad, entender su código base, arreglar errores y lanzar productos seguros, la empresa se centró excesivamente en los beneficios y en la percepción del estatus.
Las auditorías básicas, por ejemplo, faltaron por completo y los obstáculos eran superados demasiado rápido por el equipo, lo que daba lugar a una vulnerabilidad de seguridad que aún no se había resuelto.
El evento podría haberse prevenido y los usuarios deberían haberlo visto venir, según Leshner, quien tuiteó detalles sobre cómo la empresa había robado el código de Compound: "Si un proyecto no tiene la experiencia para desarrollar sus propios contratos inteligentes, y en su lugar roba y redistribuye el código con derechos de autor de otra persona, es una señal de que no tienen la capacidad o la intención de considerar la seguridad". Más tarde animó a los desarrolladores y usuarios a aprender una valiosa lección: No le des tu dinero a una compañía en la que no puedes confiar.
Kerr de Kava Labs procedió a citar el lema del CEO de Facebook Mark Zuckerberg de "moverse rápido y romper cosas", diciendo:
"Es un gran dicho cuando se trata de software básico y startups, pero definitivamente es el peor consejo cuando se construye una infraestructura financiera, tal como este último fin de semana ha demostrado."
DeFi debería centrarse en los usuarios
Kerr también compartió que "En Kava, todo nuestro código está construido desde cero, en Golang, en módulos muy discretos que se destinan a acciones muy específicas que podemos auditar y verificar. Esto significa que podemos probar completamente el código con una confianza muy alta en cuanto a su exactitud y seguridad". Continuó:
"Valoramos la seguridad de los fondos de los usuarios y la ponemos al frente de todo lo que hacemos. Llevamos a cabo redes de prueba, realizamos auditorías de terceros, y tenemos una revisión sustancial de pares antes de que cualquier código se ponga en marcha en la plataforma Kava. Además, todo nuevo código debe ser revisado y votado por el grupo validador asegurando y apostando que $KAVA incluye operadores técnicamente inteligentes como Binance, OKEx, Huobi, Bitmax, Hashkey, Lemniscap, SNZ, Dokia Capital y Framework Ventures."
DeFi debe verificar para confiar
No es suficiente confiar en una empresa porque tienen grandes inversores, como hemos visto es el caso de dForce y MakerDao. Sin embargo, a menudo oímos "confiar y verificar" cuando probablemente deberíamos oír "verificar y confiar" de la comunidad DeFi.
Aunque Leshner es el CEO de Compound, también es un inversionista personal de Kava Labs junto con otros grandes patrocinadores como Arrington XRP Capital. El excelente equipo técnico de Kava y la estricta adherencia a las medidas de seguridad es lo que tiene a los auditores hablando de su código. Antes del lanzamiento de Kava Labs, la plataforma de préstamos realizó una auditoría profesional por CertiK, la principal firma de verificación y auditoría formal. En un blog sobre los resultados de la auditoría, CertiK declaró: "Kava es una de las mejores bases de código que Certik ha visto en un proyecto hasta la fecha, especialmente en el sector de las finanzas descentralizadas".
Finalmente, Kerr tomó la iniciativa al concluir: "Animo a cualquiera que piense en utilizar un protocolo DeFi a que primero compruebe la competencia técnica del equipo, compruebe la existencia de inversores técnicamente diligentes y compruebe que se han realizado auditorías y revisiones por pares. Incluso entonces, asuma que siempre habrá algún riesgo técnico y de mercado cuando se trata de protocolos DeFi. Es un espacio nuevo y habrá aprendizajes más dolorosos como este por venir."
Los puntos de vista y opiniones aquí expresados son únicamente los del autor y no necesariamente reflejan los puntos de vista de Cointelegraph.
Andrew Rossow es un abogado milenial, profesor de derecho, empresario, escritor y orador sobre privacidad, ciberseguridad, IA, AR/VR, blockchain y monedas digitales. Ha escrito para muchos medios de comunicación y ha contribuido a publicaciones sobre ciberseguridad y tecnología. Utilizando sus antecedentes milenarios en todo su potencial, Rossow ofrece una perspectiva completa sobre el crimen en los medios sociales, la tecnología y las implicaciones de la privacidad.
No dejes de leer:
- Una plataforma DeFi sufre un ataque del 51% de sus principales mineros... ¿o no?
- España: DeFi fue uno de los temas que mayor atención despertó en el III Congreso Blockchain Murcia
- Las DeFi están exponiendo las deficiencias de almacenamiento en frío, dice un custodio de criptomonedas
- Videojuegos y Blockchain: ¿Nueva experiencia para jugadores o más dinero para los desarrolladores?
- Grayscale: El interés institucional en las criptos se duplica en el segundo trimestre
- Gobierno y empresas se están asociando efectivamente para desarrollar Blockchain en Nigeria
- El papel de la criptomoneda como medio de intercambio en la Darknet