Finance Redefined: El curioso caso de Harvest Finance, del 21 al 28 de octubre
Harvest Finance recaudó hasta mil millones de dólares en valor total bloqueado antes de que una “exploit económico” hiciera caer. Su medida de valor fijo ahora ronda los $300 millones y las perspectivas de una recuperación parecen sombrías.
El exploit ha vuelto a encender los debates entre los miembros de la comunidad DeFi sobre si estos tipos de ataques de arbitraje basados en préstamos flash son en realidad hackeos.
Las características de Harvest producen yield farmings similares a las de Yearn. Emiten acciones de bóvedas tokenizadas en función del valor de los activos proporcionados por los usuarios. Algunas de estas bóvedas se basan en el grupo Y de Curve, que impulsa la liquidez de los swaps entre USDT, USDC, DAI y TUSD.
El ataque utilizó préstamos flash para convertir $17 millones de USDT en USDC a través de Curve, lo que elevó temporalmente el precio del USDC a $1.01. Luego, el hacker usó otro alijo prestado en flash de unos $50 millones de dólares estadounidenses, que el sistema consideró que valía $50,5 millones, para ingresar a la bóveda de USDC de Harvest.
Después de ingresar, el atacante revertiría la operación anterior de USDC a USDT para equilibrar el precio, y luego canjearía inmediatamente sus acciones de los grupos de Harvest para recibir $50.5 millones en USDC, una ganancia neta de $500,000 por ciclo repetido suficientes veces para obtener $24 millones en botín.
Entonces, ¿es esto un truco o no?
Técnicamente, no hubo vulnerabilidades involucradas aquí. Hubo una verificación omitida para este tipo de “operaciones de arbitraje” que detecta si el precio de estas stablecoins se desvía demasiado de su valor previsto. Pero ya estaba bastante bajo y en realidad es más un inconveniente leve que un bloqueador real: un atacante solo necesita usar más ciclos de explotación.
Entonces, en ese sentido, los defensores de la teoría de que esto es solo un comercio de arbitraje tienen razón: no hay un comportamiento no intencionado en el código, es más como una manipulación del mercado armada repetida a gran velocidad.
No obstante, el equipo de Harvest Finance asumió la responsabilidad de esto como un defecto de diseño, lo cual es encomiable.
Honestamente, ni siquiera estoy seguro de cuál es el sentido de estos debates semánticos. La gente perdió dinero de forma prevenible. Una auditoría debería haber detectado esto y marcarlo como un problema crítico.
Pero definitivamente se puede argumentar que es una categoría diferente de errores como la reentrada. Destaca que estos bloques de construcción financieros, a menudo denominados “Lego del dinero”, deben diseñarse con sumo cuidado en la mesa de dibujo.
Es como si alguien creara una pistola con piezas de Lego y la gente estuviera debatiendo si la pistola fue “creada” o “descubierta” porque las piezas se ensamblaron técnicamente según lo diseñado. De cualquier manera, las partes de Lego deben ser reelaboradas para que no se conviertan en un arma letal.
Demasiada confianza en los estándares de criptomonedas
Antes del hackeo, Harvest se destacaba por su grado extremo de centralización. En sus días de gloria, todos los mil millones de dólares podrían haber sido robados por una sola dirección, probablemente controlada por el equipo anónimo detrás del proyecto. Un par de auditorías destacaron ese hecho, y también dejaron en claro que la dirección podía nominar mineros y crear tokens a voluntad.
Los fanáticos del proyecto lo defendieron enérgicamente, diciendo que debido al bloqueo de tiempo, los holders de claves de gobernanza solo podían sacar el dinero 12 horas después de señalar sus intenciones, o que solo podían imprimir un número limitado de tokens.
Dejaré que seas el juez de esos argumentos. El punto más amplio es que en la búsqueda de rendimiento, estos “degens” están ignorando los principios básicos de la descentralización y, ya sabes, de qué se trata DeFi.
Y no digo que sea malo por algunos principios idealistas que tengo. Es por los tirones de la alfombra. Estas son las circunstancias exactas que llevaron a desastres como UniCats.
La loca historia de bZX
Hablando de trucos, tuve el placer de entrevistar al equipo de bZX sobre su terrible año. Sufrieron un total de tres ataques durante 2020, aunque algunos de estos definitivamente se sienten más como las “hazañas económicas” mencionadas anteriormente.
El equipo no es más que dedicado. Una historia que no llegó al artículo fue cómo Kyle Kistner saltó una cerca en medio de la noche y entró en la comunidad cerrada donde vivía su cofundador Tom Bean. Aparentemente, había un error que debía corregirse literalmente lo antes posible.
A juzgar por la historia, ser un desarrollador de DeFi no es para los débiles de corazón ni para las personas a las que les gusta dormir.
Por supuesto, uno no puede evitar notar que bZX fue explotado con demasiada frecuencia. Como ex cazarrecompensas de errores, definitivamente pude ver cómo sus prácticas de seguridad estaban por debajo de la media a principios de año (el programa de recompensas de errores era bastante malo, por ejemplo), pero también vi cómo rectificaron muchos de sus errores. Tal vez haya otros problemas subyacentes, pero creo que eventualmente podrían recuperarse si no ocurren más incidentes.
La amenaza de DeFi para el staking
Un informe de ConsenSys destaca un problema que se ha ignorado hasta ahora, que es esencialmente el costo de oportunidad de apostar en un entorno DeFi.
La idea es bastante simple: el dinero persigue los rendimientos más altos, y DeFi parece ofrecer muchos de ellos en estos días. Incluso algo relativamente dócil como el 20% APY podría superar el 8% potencial de apostar y validar Ethereum 2.0.
Ese problema se agrava aún más si considera que la Fase 0 de Ethereum no le permitirá retirar o transferir los tokens que comprometió hasta que llegue la Fase 1 o 2. Básicamente, estás apostando a que el equipo enviará una implementación completa en un plazo de tiempo razonable, y realmente no estás siendo recompensado tanto por el riesgo.
En ese escenario, cuanto más popular es DeFi, menos segura es la red, y ese es un gran problema.
Afortunadamente, se puede resolver en gran medida mediante el replanteo de derivados: tokens líquidos respaldados por una garantía utilizada para el replanteo, una especie de Ether IOU. Hay riesgos involucrados, a saber, que la garantía subyacente podría reducirse y los pagarés de repente valdrían menos. Lo bueno para la red es que solo DeFi se ve afectado en este caso, restableciendo la jerarquía natural de importancia.
Pero eso resalta cuántas interacciones no deseadas podría haber en el futuro. DeFi ya puede volverse extremadamente compleja, y si la gente no la entiende completamente, las consecuencias podrían ser terribles.
Sigue leyendo: