Los hackeos a DeFi en Binance Smart Chain aumentan a medida que el valor bloqueado y los volúmenes aumentan
Binance Smart Chain, o BSC, se lanzó en septiembre de 2020 como una blockchain paralela a Binance Chain. Permitió la creación de contratos inteligentes y un mecanismo de staking para el token nativo de ambas blockchains, Binance Coin (BNB).
En sus breves nueve meses de existencia, ha habido una gran cantidad de proyectos de finanzas descentralizadas, o DeFi por sus siglas en inglés, construidos sobre ella, pero también ha habido numerosos casos de hackeos en los protocolos de la blockchain.
La última víctima de la serie de exploits es el protocolo Spartan. La plataforma de liquidez para activos sintéticos fue objeto de un ataque que provocó una pérdida de 30 millones de dólares para el protocolo el 2 de mayo. Según la empresa de seguridad de blockchain PeckShield, el hackeo permitió al actor o actores maliciosos inflar el saldo de un fondo de liquidez particular y quemar tokens de proveedores de liquidez por una cantidad significativa de criptomonedas que estaban en el fondo. Esto también se conoce como un Flash Loan Attack, o ataque de préstamo flash en español.
Cointelegraph discutió la causa raíz de este hackeo con Michael Perklin, jefe de seguridad informática de la plataforma de trading de criptomonedas ShapeShift, quien dijo: “La causa raíz del hackeo de Spartan parece haber sido un error en el ordenamiento de las operaciones en el contrato inteligente“, y agregó:
“La forma en que se programaron los contratos de Spartan, algunas operaciones se realizaron después de actualizar la liquidez del pool en lugar de antes, lo que permitió a los atacantes controlar el precio de los tokens en el pool en función de sus depósitos.”
Según Rekt, el hackeo del Protocolo Spartan es el sexto mayor hackeo de DeFi en la historia del dominio. Tres de los seis principales hacks por valor explotado han tenido lugar en protocolos de BSC, siendo los otros dos los hacks de Uranium Finance y Meerkat Finance. Además de estos hacks, incluso el protocolo DeFi más importante de BSC, PancakeSwap y Cream Finance, fueron utilizados para ataques de phishing para robar dinero.
En el hackeo de Uranium Finance, se robaron 50 millones de dólares de la plataforma de creación de mercado automatizada el 28 de abril. El hacker informático se aprovechó de un fallo en la lógica del modificador de saldo de Uranium para multiplicar por 100 el saldo del proyecto. Este fue el segundo hackeo de la plataforma en rápida sucesión. El primero fue el 10 de abril, cuando el hacker robó 1,3 millones de dólares del protocolo. Debido a este hackeo, el protocolo migró a la iteración v2 de su código.
En el exploit de Meerkat Finance, los usuarios perdieron 31 millones de dólares en la plataforma debido a un supuesto “rug pull”, tirón de alfombra en español, por parte de los desarrolladores. Un rug pull es un tipo de estafa en la que dentro del mercado descentralizado se retira el apoyo de los pools de liquidez.
Falta de diligencia debida y descentralización
BSC es una cadena compatible con la Ethereum Virtual Machine, lo que significa que la red utiliza esencialmente una lógica similar a la de la blockchain de Ethereum. Sin embargo, la principal diferencia es la descentralización. BSC está bastante centralizada y emplea un algoritmo de consenso de Prueba de Participación Autorizada.
En lugar de tener validadores en toda la red – como es el caso de Ethereum – BSC tiene 21 validadores que son elegidos de la red y son responsables de la salud de la red y de las responsabilidades de validación. El hecho de tener sólo 21 validadores en la red hace que esté muy centralizada en comparación con otras blockchains.
El trilema de la Blockchain, un término acuñado por el cofundador de Ethereum, Vitalik Buterin, describe la improbabilidad de que una Blockchain obtenga las tres propiedades siguientes: descentralización, seguridad y escalabilidad. Esto significa esencialmente que la mejora de uno de estos tres aspectos implicaría que los otros dos se vieran comprometidos en cierta medida.
Por lo tanto, dado que BSC parece comprometer el aspecto de la descentralización, esto también significa potencialmente que debería haber varios puntos de fallo que los hackers buscan explotar. Marie Tatibouet, directora de marketing de Gate.io – un exchange de criptomonedas – dijo a Cointelegraph: “Los exchanges y vías centralizadas son mucho más arriesgadas que sus homólogas descentralizadas, debido a su estructura inherente. Un sistema descentralizado reparte sus riesgos entre toda su red y disminuye las debilidades estructurales.“
Dado que la BSC es una infraestructura pública y sin permisos, permite a los desarrolladores construir y desplegar protocolos DeFi sin censura. De este modo, la responsabilidad de comprender los riesgos que entrañan los protocolos DeFi en la red recae aún más en los usuarios. Martin Gasper, analista de investigación de CrossTower – un exchange de activos digitales – dijo a Cointelegraph:
“Una consideración clave para los protocolos BSC es que son relativamente nuevos en comparación con muchos de los conocidos protocolos DeFi de Ethereum, que han resistido la prueba del tiempo y muchas auditorías de su código. Los proyectos más nuevos en BSC también pueden tener su código escrito por desarrolladores menos experimentados, creando riesgos adicionales para los usuarios que depositan criptomonedas en ellos.”
Aunque en los hacks mencionados los contratos inteligentes de los protocolos DeFi fueron manipulados y explotados, no se refleja realmente en las vulnerabilidades de seguridad inherentes a la red BSC. Cointelegraph se puso en contacto con Binance para conocer su opinión sobre estos ataques. Aunque se negó a comentar sobre los hacks específicos, el representante del exchange lo comparó con Ethereum en las primeras etapas de DeFi, que ponía la responsabilidad en los usuarios. El portavoz de Binance dijo:
“En el boom de las ICOs de 2017, múltiples ICOs y proyectos construidos sobre Ethereum fueron estafas y muchos fueron vulnerables a los ataques; eso no significa que la blockchain de Ethereum tuviera vulnerabilidades de seguridad, simplemente indicó la falta de conciencia entre los inversores que fueron presa de las violaciones de seguridad de los proyectos. Los nuevos usuarios minoristas no evaluaron sus riesgos adecuadamente”.
Dicho esto, ConsenSys Labs, una empresa de tecnología blockchain que respalda la infraestructura de Ethereum, sí mantiene una página de “mejores prácticas de contratos inteligentes de Ethereum” que enumera varios ataques conocidos y otros aspectos importantes de los contratos inteligentes desplegados en la red. Sin embargo, no existe una página similar para BSC.
Tatibouet opinó además que “la falta de la debida diligencia” causó estos hacks en relación con la naturaleza centralizada de BSC. “Dan luz verde a cientos de proyectos cada semana. Debido a su enfoque centralizado, simplemente no tienen el personal necesario para hacer la comprobación necesaria”. También señaló que Uranium Finance ni siquiera reveló qué empresa auditó su código, lo que debería haber sido una importante señal de alarma por sí misma.
El crecimiento de BSC se debe a las tasas de gas en Ethereum
Ethereum se ha enfrentado al problema de las elevadas tasas de gas en los últimos meses. Debido a esto, varios usuarios han dejado de utilizar aplicaciones DeFi en la red. En comparación, BSC, debido a su naturaleza centralizada, tiene tasas de gas significativamente más bajas y generación de bloques más rápida que Ethereum. Las tarifas de gas de Ethereum han superado los 300 Gwei en lo que va de mayo tras el hard fork de Berlin, que supuestamente redujo los precios del gas. En comparación, las tarifas de gas de BSC son extremadamente pequeñas, y el precio medio del gas se sitúa actualmente en 6,6 Gwei.
Es esta diferencia en los precios del gas lo que llevó a múltiples protocolos DeFi y a los inversores minoristas a esta red. El portavoz de Binance comentó además sobre esto: “Los desarrolladores pueden preocuparse menos por los costes y centrarse más en innovar. La mayor velocidad de las transacciones y los bajos costes de las mismas han acelerado su utilidad desde su lanzamiento el año pasado.”
El 9 de mayo, las transacciones diarias de BSC alcanzaron su máximo histórico de 9,7 millones, ya que las transacciones diarias de Ethereum también alcanzaron su máximo histórico de 1,7 millones el mismo día. Eso es casi seis veces las transacciones de Ethereum. Es una señal de la creciente adopción de la red BSC a medida que más protocolos DeFi siguen utilizándola. Sin embargo, sobre la comparación entre las dos redes, Gasper opinó
“Parece que hay relativamente poca innovación en BSC, ya que muchos de los proyectos de la red siguen el modelo de los principales protocolos DeFi de Ethereum. Además, Ethereum tiene un conjunto de productos más amplio y más desarrolladores trabajando en él y en productos para él, en relación con BSC”.
El valor total bloqueado, o TVL por sus siglas en inglés, en la red BSC está actualmente cerca de los 46.000 millones de dólares, lo que supone un aumento del 60% con respecto al TVL de 28.600 millones de dólares de hace apenas un mes. A medida que aumenta la adopción de BSC, es muy importante que los usuarios sean precavidos y realicen una investigación exhaustiva antes de invertir en protocolos alojados en la red, debido a su enfoque centralizado y a la falta de la debida diligencia.
Sigue leyendo: