La manipulación de los datos de DeFi es demasiado fácil, y las actuales soluciones de oráculo no ayudan mucho
Parece que cada semana oímos noticias de otro proyecto de DeFi que ha sido hackeado o explotado. La última cosecha de víctimas incluye proyectos como Harvest Finance, Akropolis, Value DeFi, Origin y por supuesto Compound.
Cuando las vulneraciones ocurren, usualmente involucran la manipulación del precio de referencia como ETH/DAI en una fuente de datos, como Curve, Kyber o Coinbase Pro. A veces, es un error, como en el caso de SNX donde el won coreano se cotizó con el decimal equivocado.
Relacionado: Finance Redefined: Eres hackeado, ellos son hackeados, todos son hackeados, del 11 al 18 de noviembre
A medida que crezca el ecosistema DeFi, el potencial de vulneraciones aumentará sin duda alguna. DeFi se hará más complejo a medida que se acepten más activos como garantía. La complejidad también aumentará a medida que los índices se hagan más prevalentes y que las opciones que se liquiden al valor justo de mercado alcancen su potencial. El éxito de estos resultados depende de que los datos sean exactos, seguros y libres de manipulación.
Por lo tanto, ¿qué posibilidades tienen estos valores de referencia menos líquidos de defenderse de los ataques cuando algo como el par ETH/DAI está tan sujeto a manipulación? Algunos de ellos se negocian apenas en pocos lugares y casi totalmente en exchanges descentralizados. Otros son valores calculados que dependen de terceros.
Mitigando el riesgo de hackeo y vulneración de DeFi
Múltiples oráculos. Cada oráculo está estructurado de manera diferente en sus fuentes de datos preferidas, en cómo llegan a un consenso sobre los datos y en cómo calculan esos precios. Una posible opción cuando se trata de pares menos líquidos es utilizar oráculos múltiples. Aunque esto supondrá un costo adicional, los nuevos oráculos emergentes han hecho grandes progresos en la reducción de los costos en comparación con los oráculos anteriores.
Poner límites a los precios actuaría como un control de cordura. En el caso de las stablecoins, podemos colocar valores mínimos y máximos para mitigar la potencial vulneración. Por ejemplo, se podría fijar el precio del Dai entre 0,97 y 1,03 dólares.
Interruptores automáticos. Para los pares de criptodivisas que no sean stablecoins de rango, podemos establecer rangos de operación. Y si estos rangos se rompen, podemos implementar un período de enfriamiento. Esto funcionaría de manera muy similar a los interruptores o corto-circuitos usados por el Nasdaq y otros mercados financieros tradicionales. Sólo después del período de enfriamiento se debería reiniciar.
Promedios. El precio promedio ponderado en el tiempo y/o el precio promedio ponderado en el volumen durante períodos de tiempo variables, dependiendo del caso de uso del proyecto de DeFi, también puede mitigar los ataques para los precios menos líquidos. Al utilizar promedios a través del tiempo y el volumen, un choque repentino y temporal en el precio tiene menos impacto en el precio de referencia. André Cronje lleva esto al extremo en su oráculo Keep3r, donde utiliza el precio medio diario.
Mercado interno. Cuando los ataques ocurren, a menudo explotan sólo un lado de los mercados internos, como las ofertas solamente. Las grandes y repentinas oscilaciones en los spreads de compra/venta deberían ser una señal de que algo podría estar mal. Como industria, debemos estar atentos a estos acontecimientos y programar alertas para cuando ocurran.
Índice de volatilidad. La volatilidad implícita, o IV por sus siglas en inglés, juega una función crítica en las finanzas. Es la base por la que se valoran las opciones. Incluso en mercados maduros y líquidos como el Índice de Volatilidad del CBOE, que es un índice de volatilidad que cubre los 30 billones de dólares del S&P 500, todavía se producen intentos de manipulación. Los cálculos actuales de la volatilidad impuesta de DeFi se basan en la IV en los precios de las opciones europeas de Deribit. Utilizando diversos métodos, la volatilidad implícita se respalda basándose en el precio de la opción, el tiempo hasta el vencimiento, el precio de ejecución, el precio de contado y los tipos de interés vigentes. La volatilidad implícita debe comprobarse para detectar perturbaciones anormales, como un aumento o disminución repentina de los valores de la IV en relación con el subyacente o en relación con el mercado en general. Si bien la IV es una indicación de las expectativas futuras de volatilidad, suele haber correlaciones con el activo subyacente y/o la volatilidad del mercado en general. Además, las IV ponderadas en función del tiempo o del volumen también deben considerarse especialmente en el caso de las opciones liquidadas en efectivo cuando están próximas a su vencimiento.
Mejores oráculos para un mejor ecosistema de DeFi
En un mundo ideal, podemos recopilar datos de múltiples fuentes que sean difíciles y/o costosos de manipular.
Por un lado, los oráculos existentes sólo admiten los pares de criptomonedas más grandes y a menudo no actualizan el precio con la suficiente frecuencia. Por ejemplo, Compound eligió usar Coinbase Pro en lugar de Chainlink, lo que puede haber parecido una elección desconcertante para muchos.
Sin embargo, incluso Chainlink sólo actualiza el contrato Dai una vez cada 24 horas o si el precio se mueve en un 2%. Por lo tanto, Compound se vio obligado a elegir entre datos frescos/en vivo o datos libres de manipulación. Si hubieran elegido Chainlink en lugar de Coinbase Pro, todavía es posible que hubieran sufrido pérdidas mientras el precio de Dai se manipulaba para que oscilara dentro del rango del 2%. Pero habría sido una muerte por mil cortes en lugar de la catastrófica tajada que terminaron sufriendo.
Muchas criptomonedas sólo cotizan en uno o dos exchanges, a veces sólo en exchanges descentralizados, y tienen muy poca liquidez y sufren de una alta volatilidad. En este tipo de situaciones y en otras, los proyectos de DeFi deben asociarse con oráculos que puedan proporcionar la amplitud de datos que necesitan junto con la vivacidad de los datos que es esencial.
Cada proyecto de DeFi se enfrenta a un conjunto único y distinto de variables. Por lo tanto, no todas las soluciones propuestas son adecuadas para cada proyecto. Un proyecto debe considerar sus requisitos de datos únicos y qué compromisos son adecuados para sus necesidades.
Los puntos de vista, pensamientos y opiniones expresados aquí son exclusivamente del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.
Sigue leyendo:
Samuel Kim es socio fundador de Umbrella Network, un oráculo de capa dos que potencia la próxima generación de aplicaciones de DeFi. Anteriormente, fue el fundador y CEO de Lucidity, una solución de transparencia basada en Blockchain para la publicidad digital y cofundador de Gimbal, una plataforma de publicidad móvil. Se graduó en la Universidad de Columbia y obtuvo su MBA en la Chicago Booth School of Business, donde se concentró en las finanzas analíticas.