Las finanzas descentralizadas, o DeFi para abreviar, se convirtieron en una palabra de moda en 2019 después de las valoraciones de MakerDao y Compound después de que ambas compañías levantaran rondas considerables de la firma de élite Venture Capital con sede en Silicon Valley, Andreessen Horowitz.
2020 ha sido un año difícil para el sector de cifrado DeFi: ha estado pasando por el escurridor. Durante el fin de semana, el protocolo del ecosistema dForce Lendf.me perdió el 99.95% de sus fondos debido a un hackeo. Solo unos días después, el pirata informático filtró información sobre su identidad que resultó en la devolución de la mayoría de los fondos robados. Esta noticia llega después de la mayor prueba de DeFi el 12 de marzo, cuando el precio de Ether (ETH) cayó bruscamente, lo que provocó que los sistemas sufrieran demasiados problemas y fallaran. El gran perdedor ese día fue MakerDao, cuya pobre arquitectura e infraestructura quedó expuesta debido a las limitaciones de la red Ethereum.
La plataforma financiera descentralizada líder MakerDao acumuló deudas que tuvieron que ser rescatadas por el dinero de su empresa de capital de riesgo. Un mes más tarde, la clavija del dólar de DAI estaba experimentando problemas de estabilidad y se presentó una demanda colectiva de $ 28.3 millones contra la Fundación Maker en el Tribunal de Distrito del Norte de California por negligencia. Los usuarios quieren recuperar su dinero.
El 18 de abril, se robaron $ 25 millones en Ether y Bitcoin (BTC) a los usuarios del protocolo de préstamos Lendf.me. Lendf es un protocolo con problemas de seguridad y forma parte del ecosistema de la Fundación dForce. Sorprendentemente, fue capaz de recuperar casi todos los fondos del atacante que explotó la escapatoria de reentrada en su protocolo, ya que finalmente devolvió casi todo el dinero que había robado. Después de gastar $ 25 millones, el pirata informático devolvió $ 24 millones, conservándose $ 1 millón para sí mismo para … ya sabes, las tarifas de gasolina y estos difíciles COVID-19, tal vez.
Irónicamente, el pirata informático no devolvió la misma combinación de activos que fue robada, sino que devolvió los $ 24 millones en una combinación diferente de tokens de criptomonedas. Esto se produce inmediatamente después de la noticia de que la Fundación dForce cerró una ronda de $ 1.5 millones dirigida por Multicoin Capital, con la participación de Huobi Capital y CMB International la semana pasada. Podemos suponer que estos fondos van a cubrir las pérdidas del hack.
Hablé con dos CEO de DeFi de Compound Finance y Kava Labs para preguntarles sobre su experiencia con dForce y qué conclusiones clave puede enseñar el truco a la comunidad de DeFi.
Brian Kerr, el CEO de la plataforma de préstamos DeFi Kava Labs, habló con Cointelegraph sobre lo que salió mal con dForce que permitió que ocurriera este truco. A mediados de 2019, Kava anunció su stablecoin USDX. Poco después, dForce lanzó su propio nombre de teletipo estable como USDx. El uso del ticker USDX de Kava muestra la creatividad limitada en dForce, que probablemente también se extiende a su código y talento técnico. Robert Leshner, CEO de la compañía de préstamos DeFi Compound Finance, habló personalmente con Cointelegraph en una entrevista, luego de su Pío sobre el pirateo de $ 25 millones y afirman que la compañía robó un código que es reconocible como Compuesto.
Durante la entrevista telefónica con Cointelegraph, Leshner explicó:
“Construir en cadena es despiadado; la seguridad requiere la atención total de un equipo. Cuando los equipos vuelven a implementar el código que no han escrito, hace imposible saber cómo, o por qué, funciona el código, o cuáles son los riesgos … cualquier otra cosa es una injusticia para los usuarios. Y los usuarios deberían exigir mejor “.
Lamentablemente, dForce se ha convertido en un ejemplo de lo que DeFi no debería ser.
Entonces, ¿qué necesitas saber?
En el caso de MakerDao y dForce, lo que comenzó como un desastre ahora está en proceso de resolución. Aunque todavía no se tiene en cuenta una suma significativa de los fondos, la experiencia ha dejado a los usuarios buscando plataformas alternativas de préstamos de DeFi en las que realmente pueden confiar. Muchos usuarios han perdido fondos, y muchos otros se sienten cautelosos simplemente al leer las noticias de DeFi en estos días, incluso si su dinero no ha sido comprometido por MakerDao o dForce. Como un subcampo dentro del espacio criptográfico, DeFi todavía es muy joven.
¿Era realmente responsabilidad de dForce?
Leshner dijo que la firma dForce “copió / pegó el Compuesto v1 sin cambios”. Según Leshner, la compañía alega que el código del Compuesto v1 “no tenía fallas”, pero que el grupo era cauteloso sobre el activo que figuraba en la lista, según su tweets. El equipo de dForce copió el código que Compound no entendía completamente y lo implementó ilegalmente como propio mientras cambiaba algunas partes sin darse cuenta de los problemas de seguridad involucrados, según Leshner.
También pesaba Kerr. Kava Labs: una plataforma de préstamos DeFi similar a MakerDao, pero aunque MakerDao solo acepta tokens ETH, la plataforma Kava acepta cualquier activo, incluidos Bitcoin, Ripple (XRP), Binance Coin (BNB) y Cosmos (ATOM), que se pueden usar para acuñar USDX, la plataforma estable de la plataforma. Estos hitos del desarrollo de la plataforma se produjeron antes de que dForce eliminara el nombre del ticker USDX para su propia moneda estable. Kerr compartió que Kava apunta a que USDX se convierta en un jugador importante en el sistema financiero global.
Basado en la cuenta de Kerr a Cointelegraph y declarado en su respuesta a Leshner en Twitter, dForce comercializó fuertemente Lendf.me en el mundo sin realizar primero auditorías muy básicas: “Una auditoría básica de cualquier empresa de buena reputación habría captado esto: la reentrada es un problema conocido y fácil de verificar. Además de robar el código del Compuesto, DForce también robó el nombre y el símbolo del token USDX de Kava, a pesar de que anunciamos nuestro token muchos meses antes de que incluso tuvieran una plataforma “. Kerr admitió: “Es un terrible ejemplo de lo que DeFi no debería ser”.
Como la confianza es la base más central e importante para una relación entre una persona y su dinero, Kerr cree que la responsabilidad era con “tanto el equipo de dForce como los usuarios de la aplicación”. Él continuó:
“DForce no entendió lo que estaban haciendo y comercializó un producto inseguro. Los usuarios no hicieron su propia diligencia debida en el equipo o la base de código para determinar si el producto es seguro para su uso “.
DeFi no debería ser descarado
Como informó previamente Cointelegraph, el pirata informático de dForce utilizó el token imBTC como un “caballo de Troya” del ataque, como una envoltura de Ethereum para Bitcoin. Leshner explicó que el error de seguridad provino de un conocido ataque de reentrada: “Este es un ataque de seguimiento al ataque imBTC Uniswap de ayer”. Continuó diciendo: “imBTC es un token ERC-777 y no un activo Ethereum normal. Los contratos inteligentes que incluyen imBTC tienen que ser extremadamente cautelosos y escribir código adicional para protegerse contra los ataques de reentrada ”.
Esto se considera una vulnerabilidad bien conocida del estándar ERC-20 común, especialmente cuando se usa en el contexto de DeFi.
DeFi no debería estar en Ethereum
La arquitectura de la red Ethereum no satisface las necesidades de escala y seguridad del sector DeFi, ya que el nivel de prueba requerido para lograr todos los resultados es infinito en el lenguaje de programación Solidity, según Kerr. “Por estas razones y muchas otras, los proyectos líderes, incluidos Binance, Cosmos y Kava, han optado por abandonar el ecosistema Ethereum por pastos más verdes”, dijo.
“Construir cualquier servicio financiero en la red Ethereum es problemático para la seguridad. Probar los posibles resultados y errores de Solidity es casi imposible, ya que puede hacer prácticamente cualquier cosa como un lenguaje completo de Turing. Si bien es poderoso, probablemente sea el peor entorno para construir infraestructura financiera “, afirmó Kerr, quien considera que una de las propuestas de valor de Kava es que está enraizada en los estándares de seguridad como una plataforma especialmente diseñada para todos los activos que requieren servicios seguros de DeFi como una prioridad principal.
DeFi debe ser seguro y protegido
Lendf se llama a sí mismo: “Con mucho, el mayor protocolo de préstamos de DeFI de moneda estable con respaldo fiat”. Lo problemático es que Lendf estaba demasiado concentrado en aumentar el capital, el crecimiento y la expansión para mantener su mayor, mejor y “mayor moneda estable respaldada por el Fiat”. En lugar de centrarse en mejorar el código para la seguridad, comprender su base de código, corregir errores y lanzar productos seguros, la empresa se centró demasiado en las ganancias y el estado percibido.
Las auditorías básicas, por ejemplo, faltaban por completo y el equipo saltó obstáculos demasiado rápido, lo que resultó en una vulnerabilidad de seguridad que aún no se ha resuelto.
El evento podría haberse evitado y los usuarios deberían haberlo visto venir, según Leshner, quien tuiteó detalles sobre cómo la compañía había robado el código de Compuesto: “Si un proyecto no tiene la experiencia para desarrollar sus propios contratos inteligentes, y en su lugar roba y vuelve a desplegar el código protegido por derechos de autor de otra persona, es una señal de que no tienen la capacidad o la intención considerar la seguridad “. Más tarde alentó a los desarrolladores y usuarios a aprender una valiosa lección: no le des tu dinero a una empresa en la que no puedes confiar.
Kerr de Kava Labs procedió a citar el lema del CEO de Facebook, Mark Zuckerberg, de “muévete rápido y rompe cosas”, explicando:
“Es un gran dicho para vivir para el software básico y las nuevas empresas, pero definitivamente el peor consejo al construir infraestructura financiera como lo ha demostrado el pasado fin de semana”.
DeFi debería centrarse en los usuarios
Kerr también compartió: “En Kava, todo nuestro código se construye desde cero, en Golang, en módulos muy discretos que se enfocan en acciones muy específicas que podemos auditar y verificar. Esto significa que podemos probar completamente el código con una confianza muy alta por su precisión y seguridad “. Él continuó:
“Valoramos la seguridad de los fondos de los usuarios y lo ponemos a la vanguardia de todo lo que hacemos. Realizamos testnets, realizamos auditorías de terceros y tenemos una importante revisión por pares antes de que cualquier código entre en funcionamiento en la plataforma Kava. Además, todo el código nuevo debe ser revisado y votado por el grupo de validadores que asegura y apuesta $ KAVA que incluye operadores con conocimientos técnicos como Binance, OKEx, Huobi, Bitmax, Hashkey, Lemniscap, SNZ, Dokia Capital y Framework Ventures “.
DeFi debería verificar para confiar
No es suficiente confiar en una empresa porque tienen inversores de renombre, como hemos visto en el caso de dForce y MakerDao. Sin embargo, a menudo escuchamos “confiar y verificar” cuando probablemente deberíamos escuchar “verificar y confiar” de la comunidad DeFi.
Si bien Leshner es el CEO de Compound, también es un inversor personal de Kava Labs junto con otros patrocinadores principales como Arrington XRP Capital. El excelente equipo técnico de Kava y su estricto cumplimiento de las medidas de seguridad es lo que hace que los auditores hablen de su código. Antes del lanzamiento de Kava Labs, la plataforma de préstamos realizó una auditoría profesional por CertiK, la firma líder de verificación y auditoría formal. En una publicación de blog sobre los resultados de la auditoría, CertiK declaró: “Kava es una de las mejores bases de código que Certik ha visto desde un proyecto hasta la fecha, especialmente en el sector de Finanzas Descentralizadas”.
Finalmente, Kerr tomó el terreno elevado al concluir: “Recomiendo encarecidamente a cualquiera que esté pensando en usar un protocolo DeFi que primero verifique la competencia técnica del equipo, verifique si hay inversores técnicamente diligentes y verifique que se hayan realizado auditorías y revisiones por pares. Incluso entonces, suponga que siempre habrá algún riesgo técnico y riesgo de mercado cuando se trata de protocolos DeFi. Es un espacio joven y habrá aprendizajes más dolorosos como este por venir “.
Los puntos de vista, pensamientos y opiniones expresados aquí son solo del autor y no necesariamente reflejan o representan los puntos de vista y opiniones de Cointelegraph.
Andrew Rossow es un abogado milenario, profesor de derecho, emprendedor, escritor y orador sobre privacidad, ciberseguridad, IA, AR / VR, blockchain y monedas digitales. Ha escrito para muchos medios y ha contribuido a publicaciones de ciberseguridad y tecnología. Utilizando su experiencia milenaria a su máximo potencial, Rossow ofrece una perspectiva completa sobre el crimen de las redes sociales, la tecnología y las implicaciones de privacidad.
