Around the Block #3: Análisis del Ataque a bZx, Vulnerabilidades de DeFi y el Estado de las Tarjetas de Débito en Cripto

Análisis del Ataque a bZx y las Vulnerabilidades de DeFi

DeFi (Finanzas Descentralizadas) está revolucionando la forma en que las herramientas financieras se implementan en internet, haciéndolas accesibles, programables y útiles para todos. De manera similar a como internet facilitó que cualquier persona pudiera crear, compartir y programar información, DeFi está logrando lo mismo con el dinero y las finanzas.

Los productos DeFi se caracterizan por ser sin necesidad de confianza (trustless), globales (accesibles para cualquier persona), transparentes (cualquiera puede inspeccionar el código) e inmutables (no pueden ser modificados a menos que estén programados para ello). Además, son componibles entre sí, lo que significa que los productos pueden construirse unos sobre otros, similar a cómo los bloques de Lego pueden combinarse para crear algo mayor que la suma de sus partes.

Estableciendo el Contexto

Este es un entorno novedoso donde cualquier persona puede programar finanzas. El resultado actual es una red de herramientas financieras líquidas y poderosas, un nuevo terreno fértil para la innovación y la utilidad. Por ejemplo, DeFi ha creado algo llamado Préstamo Flash (Flash Loan) — esencialmente un préstamo sin riesgo donde cualquier persona puede pedir prestados millones de dólares durante la duración de una sola transacción. Si al final de la transacción no has devuelto el préstamo, toda la transacción se revierte. No se expone capital a riesgo, y cualquier usuario final puede desplegar una gran suma de capital para propósitos arbitrarios.

¿Qué Sucedió con los Ataques a bZx?

BZx (también conocido como Fulcrum) es un producto DeFi que proporciona una plataforma tokenizada de préstamos/empréstitos y trading con margen. Cualquier persona puede agregar capital al pool de bZx y pedir prestado contra su capital, o apalancarse en largo o corto operando en otros activos con margen. Su plataforma utiliza muchos otros protocolos DeFi para dar servicio completo a estos productos, aprovechando la componibilidad de DeFi.

El ataque en su núcleo fue una sola transacción increíble que pidió prestados millones de dólares en un préstamo flash, y canalizó estos fondos a través de varios protocolos DeFi para manipular y explotar elegantemente el pool de colateral de bZx. Analicemos el proceso:

1. El atacante pidió prestados 10 millones de dólares en ETH a través de un préstamo flash de un protocolo de préstamos descentralizado (Componente #1), sin publicar colateral en el proceso.

2. Utilizó 5 millones de dólares en ETH para tomar una posición corta 5x en el libro ETH-wBTC en bZx (Componente #2). BZx reenvió la orden a un agregador de liquidez (Componente #3), que evaluó la mejor tasa posible y finalmente completó la orden en un exchange descentralizado (Componente #4). Esto incurrió en un deslizamiento significativo y elevó el precio de wBTC 3 veces más alto.

3. Llevó los otros 5 millones de dólares en ETH a otro protocolo de préstamos (Componente #5), y pidió prestada una cantidad de wBTC contra el colateral de ETH.

4. Utilizó este wBTC prestado para vender al precio inflado del exchange descentralizado.

5. Usando las ganancias del Paso 4 y los ingresos del paso 2, el préstamo flash fue pagado en su totalidad y la transacción se completó exitosamente.

Esta maniobra resultó en una ganancia directa de 71 ETH, junto con un préstamo activo en otro protocolo por valor de 1200 ETH, para una ganancia neta de 1271 ETH (valorado en 355,000 dólares en ese momento). La transacción también resultó en un préstamo activo de bZx que estaba profundamente bajo el agua, que es de donde proviene la "pérdida".

La mecánica clave fue la capacidad de tomar una gran posición corta con margen 5x en un libro poco negociado que incurrió en un deslizamiento significativo. BZx fue diseñado para protegerse contra esto, pero el atacante encontró un error inteligente que evitó estas verificaciones. Este descuido expuso el pool de colateral de bZx a pérdidas profundas, mientras que todos los demás componentes en este proceso operaron según lo diseñado y no incurrieron en pérdidas.

Las Consecuencias y el Segundo Ataque

Inmediatamente después del ataque, el equipo de bZx utilizó sus claves de súper-administrador para pausar el trading y los préstamos en bZx, y corrigió el error subyacente. Mientras la comunidad discutía esta nueva explotación y el trading y los préstamos se reanudaban, ocurrió un segundo ataque a través de una mecánica similar.

Este segundo ataque fue similar al primero, pero no requirió eludir ninguna regla de deslizamiento. En cambio, se utilizó un préstamo flash para inflar el precio de Synthetix USD en un exchange descentralizado a 2 dólares (en lugar de 1 dólar), y el atacante luego depositó sUSD en bZx como colateral (a este precio inflado) para pedir prestado más ETH de lo que debería haber sido permitido. Luego huyeron con los fondos prestados sin intención de pagar el préstamo de bZx bajo el agua, obteniendo el atacante 2,378 ETH (después de pagar el préstamo flash), valorado en 630,000 dólares en ese momento.

Este ataque fue más similar a un ataque de oráculo, o un proceso que manipula un valor confiable. En este caso, el préstamo flash elevó el precio spot de ETH-sUSD en el exchange descentralizado (el oráculo), que bZx utilizó para determinar el valor del colateral en los préstamos.

¿Cómo Deberíamos Pensar sobre la Seguridad en DeFi?

DeFi ha creado nuevos productos financieros poderosos, tejiéndolos juntos de maneras emergentes. Pero estos ataques son un recordatorio sobrio de que las finanzas programables siguen siendo programables y por lo tanto se esperan errores — especialmente cuando la innovación empuja los límites de lo que es posible. En la actualidad, la combinación de préstamos flash y una red de protocolos DeFi componibles que interactúan de maneras complejas han creado esta nueva clase de vulnerabilidades.

Históricamente, una vez que se descubre una nueva clase de vulnerabilidades, genera una serie de ataques imitadores. Todos toman nota de las nuevas posibilidades, y un millón de lupas buscan en el espacio debilidades similares. En este sentido, deberíamos esperar más ataques de oráculo estilo préstamo flash. Pero esto es solo parte de cómo DeFi se vuelve más resiliente.

Por ejemplo, después del hack de DAO en un período anterior que demostró vulnerabilidades de reentrada, rápidamente aprendimos cómo prevenirlo. Actualmente, los ataques de reentrada son virtualmente inexistentes. Esto es en última instancia una función de aptitud evolutiva donde las vulnerabilidades se descubren, se parchean rápidamente, y el espacio se endurece cada vez más contra los ataques.

No deberíamos esperar que DeFi se vuelva completamente seguro contra todos los ataques, pero podemos construir un ecosistema cada vez más robusto con Defensa en Profundidad, donde múltiples capas de redundancia proporcionan mayor seguridad. También necesitamos desarrollar mayores niveles de protección al consumidor y/o seguros. Notablemente, un producto de seguros DeFi realizó su primer pago después de los ataques a bZx, una señal alentadora.

¿Qué Pasa con la Descentralización en DeFi?

El equipo de bZx utilizó claves de súper-administrador para detener los préstamos y el trading, demostrando un único punto de control. Esto fue necesario para prevenir que ataques adicionales drenaran todo el pool de colateral, pero también introduce un nuevo elemento de riesgo — ¿qué pasa si estas claves se usan mal? ¿Qué pasa si están comprometidas? Eliminar el control de una sola parte es fundamental para el espíritu de las criptomonedas. ¿Qué deberíamos pensar de esto?

La realidad es que la descentralización es un espectro, y los equipos deberían apuntar a seguir una hoja de ruta de descentralización progresiva. Para nuevos servicios DeFi, no deberíamos esperar descentralización completa desde el Día 1 ya que esto crea riesgo existencial si se encuentran exploits y no podemos reaccionar rápidamente. En cambio, los protocolos deberían graduarse a niveles crecientes de descentralización con el tiempo, y solo después de que hayan demostrado un historial de buena higiene de seguridad.

Conclusiones Clave

Al final, DeFi está empujando los límites de lo que es posible, allanando el camino para nuevos productos que personifican la naturaleza de las finanzas programáticas. Es muy emocionante ver estos productos emerger, pero también preocupante cuando los exploits sacuden la industria. Tomemos una visión holística del proceso — más ataques están destinados a suceder, pero esto es parte de la función de aptitud evolutiva. Al final, es probable que emerja un ecosistema robusto con fuertes protecciones al consumidor.

Estado de las Tarjetas de Débito en Cripto

"Gastar" ha sido un verbo importante para impulsar la utilidad en cripto desde que Satoshi escribió el whitepaper de Bitcoin. Los inversores en cripto siempre han estado buscando formas de gastar sus activos cripto en un café en la cafetería local. Y con ese fin, las tarjetas de débito cripto son vistas como una excelente opción ya que son en gran medida idénticas a las tarjetas de débito tradicionales, excepto que debitan un saldo cripto en lugar de una cuenta bancaria tradicional.

Historia

Las tarjetas de débito han tenido una historia llena de intentos, incluyendo en una plataforma importante a través de su tarjeta de débito inicial, introducida por primera vez en un período anterior. Esta tarjeta fue la primera de su tipo y dio a los clientes la capacidad de gastar sus saldos de Bitcoin en cualquier lugar donde se aceptara Visa. ¿La desventaja? Este no era un producto de marca propia, ya que fue emitido a través de un procesador de pagos.

Fueron seguidos por BitPay, Bitwala, Wirex, Coinsbank, entre otros. Luego, en medio del frenesí de ICO de un período anterior, varias otras compañías propusieron productos y plataformas centradas en una tarjeta de débito cripto. Notablemente TenX, Token Card (rebautizada como Monolith), y Monaco (ahora crypto.com). TenX recaudó 80 millones de dólares a través de ICO en 7 minutos, y Token Card y Monaco similarmente obtuvieron 12.7 millones y 27 millones respectivamente, demostrando el entusiasmo alrededor de las ofertas de tarjetas de débito cripto. Estas compañías estaban principalmente tratando de diferenciarse a través de tarifas más pequeñas, mejor UX, y a través de algunas ofertas de recompensas.

¿El problema? En ese momento solo había unos pocos procesadores de pago dispuestos a emitir tarjetas de débito, notablemente uno para una tarjeta específica y otro para la mayoría de las demás. Otro fue la adopción. Una tarjeta específica encontró tracción relativamente limitada, ya que se descubrió que la mayoría de los usuarios en realidad preferían mantener Bitcoin en lugar de gastarlo, con la volatilidad de Bitcoin y la percepción de Bitcoin como una inversión en lugar de una moneda siendo contribuyentes subyacentes. Actualmente, con un ecosistema más maduro y el advenimiento de las stablecoins, creemos que una oferta holística de tarjeta de débito es probable que encuentre mayor tracción.

En años recientes, un procesador cambió su negocio y se rebautizó, y se trabajó para implementar una nueva tarjeta de débito para el Reino Unido. Para la mayoría de las otras tarjetas, un período anterior trajo un golpe aplastante cuando VISA eliminó a un procesador citando "incumplimiento con [sus] reglas operativas", efectivamente cerrando estas otras tarjetas de débito cripto.

Mirando hacia adelante, las tarjetas de débito cripto probablemente encontrarán tracción renovada, especialmente con el surgimiento de stablecoins que generan recompensas (como USDC con un rendimiento anual en una plataforma específica). Además, una plataforma importante recientemente se convirtió en Miembro Principal Socio de Visa, un momento histórico que permite emitir Tarjetas de Débito en la UE sin requerir un banco patrocinador.

Noticias Destacadas: Comentario sobre Noticias Notables

Actualización Controvertida de Ethereum Inflama a la Comunidad

Durante un período reciente, Ethereum ha estado envuelto en un debate de gobernanza centrado en una actualización propuesta a su proceso de minería. Llamado ProgPow para Prueba de Trabajo progresiva, la propuesta tiene como objetivo facilitar que el hardware de grado de consumidor mine Ethereum, reduciendo la efectividad de los ASICs (computadoras especiales poderosas de propósito especial que dominan la minería en la actualidad).

Adoptar ProgPow haría que la minería fuera más accesible para un número más amplio de personas, teóricamente aumentando la descentralización de Ethereum y marcando un regreso a su visión inicial resistente a ASIC.

¿El problema? Esto resulta ser una propuesta muy controvertida y un tema altamente matizado. Para empezar, ProgPow reduciría la cantidad de poder de cómputo utilizado para asegurar la red (las GPUs son mucho menos poderosas que los ASICs), teóricamente haciendo que Ethereum sea más susceptible a ataques del 51%. Además, ningún algoritmo de minería es verdaderamente resistente a ASIC. Los ASICs especializados eventualmente serían creados para ProgPow también, y muchos creen que los ASICs son fundamentalmente necesarios para asegurar las redes PoW (ninguna moneda ASIC ha sido atacada al 51%).

Además, cualquier bifurcación controvertida debe manejarse con cuidado significativo. Mucho más está en juego en comparación con períodos anteriores, y la introducción de DeFi de activos del mundo real como USDC o USDT podría reducir la capacidad de Ethereum para ejecutar con éxito bifurcaciones controvertidas.

Siguiendo una larga historia previa, ProgPow fue aceptado en un período reciente y programado para su inclusión, pero el alboroto subsiguiente de la comunidad llevó a que la propuesta fuera nuevamente archivada.

Tron Acusado de "Toma Hostil" de la Blockchain de Steem

La blockchain que impulsa Steemit, un agregador de noticias sociales similar a Reddit, anunció recientemente una asociación con Tron para migrar su plataforma a la blockchain de Tron. La comunidad de Steem estaba preocupada de que la Fundación Tron ahora tuviera demasiada autoridad de gobernanza, y actuó rápidamente para promulgar una bifurcación suave deshabilitando los derechos de gobernanza de Tron.

En respuesta, Tron trabajó con varios grandes exchanges incluyendo una plataforma de intercambio líder y otra para promulgar una bifurcación dura separada para restablecer sus derechos de gobernanza y congelar tokens de miembros de la comunidad involucrados en la gobernanza de Steem. La comunidad de Steem ve esto como un intento de toma hostil por parte de Tron.

Steem en sí es un protocolo de Prueba de Participación delegada, y por lo tanto los depósitos de clientes de grandes exchanges fueron fundamentales para asegurar los votos necesarios para promulgar la bifurcación de Tron. El líder de una plataforma de intercambio importante admitió que personalmente aprobó la bifurcación dura de Tron, pero no estaba al tanto de los problemas controvertidos en cuestión y desde entonces ha reprendido a Tron por actuar de mala fe.

Este es otro punto de prueba de que la gobernanza de blockchain es difícil. Por un lado, la política en las cadenas dPOS es clara — la mayoría de votos gana. Tron simplemente derrotó a la comunidad jugando según las reglas políticas establecidas. Por otro lado, las blockchains derivan valor de sus usuarios que en última instancia tienen el poder económico. Los miembros de la comunidad de Steem están contraatacando de varias maneras, deshabilitando sus aplicaciones, renuncias de la fundación Steem, y respaldando validadores favorecidos por la comunidad.

Además, el papel de los exchanges y custodios en la gobernanza de blockchain se intensifica. Tienen la mayoría de los activos, dando poder político significativo. A medida que el espacio madura, deberíamos esperar que las plataformas centralizadas proporcionen herramientas de gobernanza.

Conclusiones de Noticias Destacadas

Las blockchains son tecnologías transformadoras, pero son fundamentalmente solo experimentos masivos de ciencias de la computación en los que todos estamos participando. Nadie posee estas redes, son propiedad de la comunidad colectiva que construye y usa las tecnologías, y estos momentos son puntos de prueba críticos para la evolución de la gobernanza de blockchain. Tanto para Ethereum como para Steem, se están estableciendo precedentes importantes, y todos deberíamos prestar mucha atención.

FAQ

¿Qué es el ataque de préstamo flash de bZx？¿Cómo los atacantes se beneficiaron explotando vulnerabilidades de DeFi？

El ataque a bZx utilizó préstamos flash para manipular precios en Uniswap, permitiendo al atacante realizar operaciones de corto apalancadas y arbitraje. Ganó aproximadamente 360,000 dólares explotando vulnerabilidades en los oráculos de precios y la falta de mecanismos de protección en DeFi.

¿Cuáles son las vulnerabilidades de seguridad comunes y los riesgos en los protocolos DeFi？ ¿Cómo prevenirlos？

Los protocolos DeFi enfrentan riesgos como ataques de reentrada y fuga de claves privadas。Las medidas preventivas incluyen seguir prácticas seguras de contratos inteligentes，implementar mecanismos de respuesta automatizada y realizar auditorías exhaustivas en entornos similares a mainnet。

¿Qué es un préstamo flash (Flash Loan) y por qué es fácil que se use para ataques?

Un préstamo flash es un crédito sin garantía en DeFi que debe reembolsarse en la misma transacción. Es vulnerable a ataques porque permite acceso a grandes volúmenes de fondos sin requisitos de colateral, permitiendo que atacantes manipulen precios de activos y protestar múltiples protocolos simultáneamente.

¿Cuáles son los principales productos y proveedores de servicios de tarjetas de débito en criptomonedas？

Los principales proveedores incluyen BitPay y Revolut. Estas tarjetas permiten a los usuarios pagar y retirar fondos con criptomonedas, ofreciendo servicios seguros y convenientes para transacciones criptográficas.

¿Cuáles son las ventajas y riesgos de las tarjetas de débito de criptomonedas?

Las ventajas incluyen permitir gastos diarios con criptomonedas y acceso inmediato a fondos. Los riesgos abarcan volatilidad de precios，vulnerabilidades de seguridad y dependencia de proveedores centralizados.

¿Cuáles son los riesgos de seguridad en la minería de liquidez y los protocolos de préstamo en el ecosistema DeFi?

Los riesgos incluyen vulnerabilidades de código, defectos en el diseño de reglas y riesgos financieros sistémicos. Los proyectos deben realizar auditorías rigurosas, establecer mecanismos de control de riesgos efectivos y monitoreo dinámico para prevenir manipulación de mercados y crisis de liquidez.

¿Cómo mejoraron los proyectos DeFi sus mecanismos de seguridad después del evento bZx?

Los proyectos DeFi implementaron mecanismos de bloqueo temporal para las actualizaciones de protocolo，aumentaron los procesos de auditoría y revisión de seguridad，y mejoraron la descentralización de la gobernanza para prevenir vulnerabilidades similares.

¿Cuáles son las limitaciones y tarifas al usar una tarjeta de débito de criptomonedas?

Las tarjetas de débito cripto suelen tener tarifas bajas por transacción, pero incluyen límites diarios de gasto y retiro. Las comisiones y restricciones varían según el tipo de tarjeta. Verifica qué criptomonedas soporta antes de usar.