Recientemente se conoció un nuevo tipo de estafa que se aprovecha de los llamados "préstamos flash" o rápidos. También conocidos como "Flash Loan", se trata de un tipo de préstamo en el ecosistema de las finanzas descentralizadas (DeFi) que se apalancan en tecnología blockchain. Estos préstamos ofrecen fondos a los usuarios sin que estos necesiten aportar una garantía.  Este tipo de prestamos tuvo gran auge dado que los protocolos DeFi otorgan a los usuarios fondos para que estos puedan utilizarlos y devolverlos en una misma operación incluyendo, por supuesto, las comisiones correspondientes.

 "Si bien con un préstamo de estas características no se podría acceder a la compra de un automóvil u otros bienes, son muy utilizados para realizar distintas actividades en el ecosistema cripto, como swapping colateral, trading de arbitraje, ahorro de tarifas de transacción y refinanciamiento de deuda, entre otros.", menciona Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

Cómo funcionan los préstamos rápidos

Estos préstamos funcionan a través de programar una transacción para que tome los fondos prestados, los movilice por distintos contratos inteligentes de otros protocolos, se realicen las operaciones de intercambio pertinentes, y al final de esa misma transacción el dinero del préstamo y sus comisiones sean reintegrados al protocolo inicial mientras el usuario se retira con sus ganancias.

Mercado cripto

La "cruz dorada" de Bitcoin que llenó de ganancias a los inversores: ¿cuánto durará?

Todos los movimientos de este proceso se realizan en una única operación de forma instantánea y todo queda registrado en un mismo bloque de la blockchain.

Según ESET, el principal punto está en el abuso de la seguridad de los contratos inteligentes de una plataforma. En este sentido, un atacante puede solicitar fondos que no requieren garantía y más tarde manipular el precio de un criptoactivo en una plataforma de intercambio y revenderlo rápidamente en otra.

Los Flash Loans permiten a los usuarios tomar prestamos por grandes cantidades de activos de un fondo común de liquidez en una blockchain. Fondos que se deben devolver dentro de la misma transacción. Pero entorno a este proceso, uno de los problemas que se plantea es que esos activos pueden utilizarse para manipular el mercado con una gran operación. Al utilizar protocolos de exchanges descentralizados (DEX) que funcionan como el único oráculo de precios del protocolo, los riesgos aumentan, ya que los atacantes solo tienen que conseguir un préstamo flash en un token y canjearlo por otro en el DEX alterando así ambos precios: uno sube y el otro baja. Luego, van a su protocolo de destino y usan el segundo token para pedir prestada una cantidad aún mayor del primer token, pudiendo pagar su préstamo y embolsando la diferencia a fin de esperar que el mercado corrija el precio manipulado.

"Por otra parte, algunos atacantes aprovechan los cálculos incorrectos de los fondos de liquidez, otros intentan atacar mineros o errores de codificación, pero lo concreto es que hay una gran cantidad de ciberdelincuentes al asecho. En este sentido, es importante entender que los contratos inteligentes tienen un control total sobre los DeFi. Esto quiere decir que una vez que los atacantes entienden su funcionamiento pueden manipular las deficiencias de un contrato y utilizarlas en su beneficio", explicaron desde ESET.

Mercado cripto

Furor cripto: se acerca un anuncio que podría cambiar todo para Bitcoin y los inversores

Los ataques más peligrosos con los préstamos rápidos

• En 2021, uno de los mayores robos fue a Cream Finance por aproximadamente u$s 130 millones. Los atacantes robaron tokens de liquidez de Cream por una suma millonaria de dólares durante un tiempo no revelado, siendo todas las pérdidas visibles en la cadena y los culpables aún no han sido atrapados. Aunque la brecha fue solo en una parte del sistema DeFi de Cream y la plataforma parcheo rápidamente la vulnerabilidad explotada, como suele suceder la mayoría de las veces que es comprometido un protocolo DeFi, los atacantes utilizaron múltiples préstamos Flash y manipularon el precio del oráculo.
  
  
• Otro ataque destacado en 2021 afectó al protocolo Alpha Homora y provocó una pérdida de u$s 37 millones. En este caso el atacante que abusó del préstamo flash también utilizó Iron Bank de Cream Finance a través de una serie de préstamos flash (Iron Bank es la rama de préstamos del protocolo Alpha Homora). Los cibercriminales repitieron el proceso varias veces hasta acumular CreamY USD (o cyUSD) y luego utilizaron los tokens para pedir prestadas otras criptomonedas. El atacante manipuló fuertemente el fondo de sUSD de HomoraBank v2 realizando una serie de transacciones y préstamos flash, lo que permitió abusar del protocolo de préstamos entre HomoraBank v2 y el Iron Bank. Además aprovechó el error de redondeo de los cálculos de los préstamos en situaciones en las que hay un solo prestatario.
  
  
• En mayo de 2021 ocurrió el ataque a PancakeBunny donde un atacante puso a prueba la plataforma PancakeBunny y robó una cifra cercana a los u$s 3 millones. El responsable del ataque primero aprovechó PancakeSwap para conseguir un gran préstamo de BNB y durante el ataque manipuló los pares de trading BUNNY/BNB y USDT/BNB. Luego, un gran préstamo flash proporcionó al atacante una enorme cantidad de tokens BUNNY, de los cuales se deshizo inmediatamente devolviendo los BNB y desapareciendo con los beneficios. Esta situación provocó una caída del precio de PancakeBunny, que pasó de $146 a $6.17. Tiempo después, en agosto de 2021 se ejecutó el ataque a Poly Network. Los atacantes lograron sustraer $611 millones de una pool posicionándolo como el ataque de Flash Loan más grande las historia hasta la fecha.