Últimamente he estado investigando problemas de seguridad en DeFi, y he descubierto que los préstamos relámpago son realmente una espada de doble filo.

Hablando de préstamos relámpago, en realidad es un concepto relativamente nuevo en las finanzas descentralizadas, y desde que Aave los lanzó por primera vez a principios de 2020, cada vez más protocolos comenzaron a soportarlos. A simple vista, los préstamos relámpago ofrecen oportunidades de arbitraje y transacciones rápidas que la finanza tradicional no puede ofrecer, suena muy bien.

Pero la cuestión clave es que, este tipo de préstamos sin garantía ni verificación de crédito, también se ha convertido en un caldo de cultivo para los atacantes. He visto varios casos clásicos de ataques, y el más interesante fue el de 2020. El atacante obtuvo una gran cantidad de ETH mediante un préstamo relámpago en dYdX, luego los envió a Compound y Fulcrum, y a través de DEX como Kyber y Uniswap manipuló el precio de WBTC. Debido a que la liquidez en Uniswap era relativamente baja, una orden grande elevó el precio directamente, lo que obligó a Fulcrum a comprar WBTC a un costo mucho mayor que el precio de mercado. El atacante completó toda la operación en una sola transacción, y cuando llegó la liquidación, ya había obtenido ganancias.

Hay otro caso en el que alguien utilizó un préstamo relámpago para manipular el precio de sUSD a 2 dólares (en lugar de su valor anclado a 1 dólar), y luego tomó prestado más ETH con una garantía inflada. El problema está aquí: los contratos inteligentes pueden reconocer datos de precios, pero no entienden el valor que debería mantener una stablecoin.

Entonces, ¿cómo prevenirlo? Creo que la clave sigue siendo resolver el problema de la valoración.

Primero, usar oráculos descentralizados es la opción más segura. No depender de una sola fuente de precios, sino agregar “precios reales” de múltiples fuentes. Así, incluso si alguien intenta manipular el precio con órdenes grandes, el oráculo puede resistir. Porque toda la secuencia de ataque debe completarse en el mismo bloque, pero el mecanismo de envío de datos de los oráculos descentralizados hace que esto sea casi imposible.

En segundo lugar, se puede aumentar la frecuencia de actualización de precios. Los pools de liquidez consultan los nuevos precios con mayor frecuencia, reduciendo significativamente la ventana para manipular el precio. Aunque en la práctica esto puede ser más costoso, la mejora en seguridad vale la pena.

Otra técnica es el precio ponderado por tiempo (TWAP), que no usa un precio en un momento específico, sino el promedio de varios bloques. Como los ataques de préstamos relámpago deben completarse en un solo bloque, es imposible manipular el precio promedio a través de múltiples bloques.

Algunos protocolos incluso integran herramientas de detección de ataques, que pueden identificar patrones de transacción anómalos en tiempo real. Aunque la efectividad de estas herramientas aún necesita más pruebas en la práctica, la idea es correcta.

Hablando sinceramente, el campo de DeFi todavía evoluciona rápidamente, y cada vez que ocurre un ataque de préstamo relámpago, todo el ecosistema aprende y mejora sus mecanismos de defensa. Confío en que, con la adopción generalizada de oráculos descentralizados y estrategias de valoración más innovadoras, los préstamos relámpago pasarán de ser “herramientas de ataque” a cumplir su propósito original: ofrecer funciones financieras innovadoras, en lugar de ser una fuente de riesgo.