¿Flash Loan Attacks: la plaga de DeFi?

Solo existe en DeFi

Los flash loans son una innovación financiera revolucionaria exclusiva del ecosistema DeFi. Introducidos en 2020 por uno de los principales protocolos DeFi sobre Ethereum, estos préstamos han transformado de raíz las posibilidades de inversión con capital en el sector cripto. Funcionan bajo un principio que no tiene equivalente directo en la banca tradicional.

En resumen, un flash loan permite acceder a fondos de un protocolo DeFi sin necesidad de garantías ni comprobación de crédito. Así desaparecen los intermediarios financieros convencionales, otorgando autonomía y control total a los inversores sobre sus instrumentos financieros. Teóricamente, esto permite invertir y obtener beneficios usando capital ajeno.

La operativa de los flash loans es muy distinta a los préstamos convencionales. En la banca tradicional, el proceso implica demostrar solvencia, recibir fondos, invertir y devolver el principal, existiendo penalizaciones por impagos. En los flash loans, todo se agrupa en una sola transacción en blockchain: el protocolo entrega los fondos, el prestatario realiza las operaciones y devuelve el importe antes de que concluya la transacción. Si no se reembolsa, la blockchain revierte todo el proceso, garantizando al prestamista la recuperación del capital mediante smart contract.

La ejecución ultrarrápida de los flash loans, en cuestión de segundos, exige que los beneficios se generen por mecanismos algorítmicos o programados, no por decisiones manuales. Así, los flash loans quedan fuera del alcance del inversor minorista y resultan especialmente atractivos para operadores sofisticados que buscan apalancar grandes sumas sin capital propio.

El primer ataque

La vulnerabilidad de los flash loans se constató poco después de su lanzamiento. A comienzos de 2020, un atacante anónimo ejecutó el primer ataque documentado en Ethereum, sustrayendo más de 350 000 USD con una compleja serie de transacciones: un flash loan y 74 operaciones adicionales.

El modus operandi demostró un dominio avanzado de la mecánica DeFi. El atacante tomó prestados 10 000 ETH y desplegó una doble estrategia: primero, abrió una posición corta de 1 300 ETH por wBTC en una plataforma de derivados, ejecutada en un exchange descentralizado. La baja liquidez generó un deslizamiento de precio del 200,38 %, inflando el valor de wBTC. Al mismo tiempo, empleó 5 500 ETH como garantía para pedir 112 wBTC en una plataforma de préstamos. Aprovechando el precio inflado de wBTC, convirtió esos 112 wBTC en 6 871,41 ETH.

Tras completar estas operaciones, devolvió el préstamo inicial de 10 000 ETH, entregó los 112 wBTC para recuperar los 5 500 ETH en garantía y retuvo unos 350 000 USD de beneficio por el diferencial de precios. Este exploit desveló graves fallos en varios protocolos DeFi que carecían de defensas adecuadas frente a la manipulación de precios.

Y no fue el último incidente

Aquel primer ataque marcó el inicio de una tendencia inquietante. Días después se produjo un segundo ataque, con un botín de 634 900 USD. Desde entonces, los exploits de flash loan han ganado en sofisticación y frecuencia, resultando cada vez más complejos y destructivos.

La evolución de los ataques mostró diferentes motivaciones y técnicas. Algunos iban tras el beneficio directo, mientras otros perseguían fines distintos. Destaca el caso de un atacante que manipuló una votación de gobernanza mediante flash loans, en vez de lucrarse de inmediato. En otro caso, tras las súplicas de los afectados a la wallet del atacante, este devolvió 2 millones de USD. Otro perpetrador dejó un mensaje en la transacción y transfirió fondos a una plataforma de reporte de incidentes, que acabó restituyendo los activos robados.

En 2021 y años posteriores, los ataques con flash loans escalaron en volumen y frecuencia. Grandes exploits en Ethereum y otras blockchains provocaron pérdidas de decenas de millones de dólares. El hecho de que algunos protocolos fueran atacados al azar y otros permanecieran indemnes plantea cuestiones vitales sobre los factores que diferencian a sistemas vulnerables de los resistentes.

¿Por qué hemos llegado a esta situación?

Es crucial comprender que los flash loans no generan ataques por sí mismos: lo que hacen es proporcionar el capital necesario para explotar vulnerabilidades de los protocolos. La descentralización y el anonimato de las criptomonedas dificultan la identificación de los atacantes y la recuperación de fondos, lo que facilita la impunidad.

Los flash loans rebajan las barreras de acceso a capital, a diferencia de la manipulación tradicional, que exige grandes tenencias o información privilegiada. Además, los picos de volatilidad y estrés del mercado han coincidido con más ataques, lo que indica que los perpetradores aprovechan estos escenarios de inestabilidad generalizada.

En el fondo, los protocolos DeFi funcionan sobre smart contracts, es decir, código. Si bien eliminan la necesidad de confiar en terceros, abren la puerta a nuevos riesgos cuando el código se desvía de su funcionamiento esperado. Los primeros ataques, basados en la manipulación de precios por baja liquidez, se podrían haber evitado con una lógica de seguridad bien implementada. Igualmente, la dependencia de oráculos on-chain únicos o dobles permitió manipular precios y realizar arbitraje aprovechando su escasa cobertura del mercado.

¿Cómo avanzamos desde aquí?

Los flash loans son una innovación que democratiza el acceso al capital y marca nuevos estándares en el préstamo. Sin embargo, la proliferación de ataques exige respuestas contundentes.

En primer lugar, es necesario sustituir los oráculos on-chain limitados por redes de oráculos descentralizadas con amplia cobertura de mercado. Estos sistemas robustos ofrecen feeds de precios resistentes a manipulaciones en varios bloques, lo que dificulta los ataques en una sola transacción. Algunos protocolos ya han integrado oráculos avanzados con validación descentralizada y multibloque, aunque este método no es infalible: los atacantes pueden dirigir sus esfuerzos contra la infraestructura de oráculos, como se vio en episodios de congestión de red y retrasos en las actualizaciones de precios.

En segundo lugar, los proveedores de oráculos deben reforzar al máximo sus protocolos de seguridad. Algunos protocolos han reaccionado de forma ejemplar aplicando procedimientos de emergencia inmediatos, migrando fondos, auditando contratos y trasladando todos los activos a contratos verificados al detectar posibles vulnerabilidades.

En tercer lugar, la auditoría externa de smart contracts por varias firmas independientes antes del lanzamiento es clave para reducir la superficie de ataque. Aunque algunos proyectos sufrieron pérdidas pese a varias auditorías, la mayoría de los protocolos afectados no contaban con revisiones externas, dejando bugs explotables por los atacantes.

En cuarto lugar, los protocolos pueden bloquear depósitos y retiradas en una misma transacción, encareciendo el coste de los ataques y desincentivando a los perpetradores, sin eliminar el uso legítimo de flash loans para los inversores normales.

Por último, los protocolos DeFi deben adoptar sistemas de detección y reacción en tiempo real, inspirados en los circuit breakers de bolsa. Ajustar de forma dinámica los parámetros de los flash loans (tipos de interés, porcentajes de préstamo, etc.) ante movimientos bruscos de precio permite defenderse sin detener la operativa, manteniendo la flexibilidad y dificultando el éxito de los ataques.

¿Qué nos depara el futuro?

Los flash loans son una tecnología incipiente que abre posibilidades financieras inéditas. Permiten nuevas formas de inversión y el desarrollo de sistemas e instrumentos financieros imposibles en los mercados tradicionales. Al mismo tiempo, los ataques continuos demuestran que DeFi sigue en una fase muy temprana. Aunque existen soluciones potenciales, los ataques más sofisticados seguirán poniendo a prueba los protocolos según evolucione el ecosistema.

La perspectiva positiva es ver estos desafíos como oportunidades de aprendizaje. Cada ataque ayuda a los protocolos a identificar y corregir vulnerabilidades, fortaleciendo el ecosistema. La adopción de DeFi parece inevitable y conocer los puntos débiles es esencial para lograr resiliencia a largo plazo. La evolución de los flash loans y del sector DeFi abre un horizonte apasionante para las finanzas del futuro.

Conclusión

Los ataques de flash loan marcan un punto de inflexión para DeFi. Aunque los flash loans son una innovación con grandes beneficios, la concentración de ataques sofisticados exige mejoras urgentes en seguridad. Soluciones como las redes de oráculos descentralizadas, auditorías reforzadas, sistemas de detección en tiempo real y ajustes dinámicos de parámetros son caminos prometedores. La sostenibilidad y el éxito de DeFi dependen de que los protocolos prioricen la seguridad y la protección de los usuarios, sentando las bases de un sistema financiero descentralizado más robusto y fiable.

FAQ

¿Qué es un ataque de flash loan? ¿Cómo funciona?

Un ataque de flash loan consiste en pedir grandes sumas sin garantía y manipular los precios de tokens a través de swaps en un solo bloque de transacción para obtener beneficios, devolviendo el préstamo y comisiones dentro de ese mismo bloque.

¿En qué se diferencian los ataques de flash loan de los préstamos convencionales? ¿Por qué los flash loans son especialmente vulnerables?

Los flash loans no requieren garantías y exigen devolución inmediata en el mismo bloque, lo que facilita la explotación: los atacantes manipulan precios, vacían liquidity pools y ejecutan ataques complejos en milisegundos sin aportar capital propio.

¿Cuáles son los ataques de flash loan más conocidos y qué pérdidas supusieron?

Entre los más famosos destaca el incidente de bZx, donde los atacantes manipularon los precios del oráculo de Uniswap y causaron millones en pérdidas. El ataque a Pancake Bunny alcanzó los 45 millones de dólares. Estos casos expusieron vulnerabilidades clave y los riesgos estructurales del sistema DeFi.

¿Cómo se defienden los protocolos DeFi de los ataques de flash loan? ¿Qué mecanismos existen?

Los protocolos DeFi se protegen mediante auditorías de smart contracts, incremento de umbrales de liquidación, monitorización en tiempo real y mecanismos de seguro. La verificación multifirma y los límites en las transacciones también ayudan a mitigar riesgos.

¿Cuáles son los riesgos e impactos de los ataques de flash loan en el ecosistema DeFi?

Estos ataques explotan vulnerabilidades para drenar fondos sin garantías. El hackeo de bZx en 2020 supuso 1,2 millones de dólares en pérdidas con solo 8,23 dólares de comisiones. Ya se han perdido más de 240 millones por flash loans, amenazando la seguridad y la confianza en todo el ecosistema DeFi.

¿Cómo pueden los usuarios proteger sus activos de los ataques de flash loan?

Conviene activar la protección contra deslizamiento, operar solo en plataformas DeFi de confianza, limitar los permisos de smart contracts, habilitar la autenticación en dos pasos y evitar grandes transacciones únicas. Las auditorías regulares ayudan a reducir riesgos.