Los problemas de seguridad en Finanzas descentralizadas aún deben ser de alta importancia.

Desde febrero de 2020, el campo de las Finanzas descentralizadas ha perdido cientos de millones de dólares. A pesar de que los expertos de la industria han realizado un gran análisis sobre los riesgos de la arquitectura modular de DeFi, los desarrolladores parecen no haber prestado suficiente atención a este problema. En el contexto de un mercado que sigue en auge y con un crecimiento constante en la cantidad de fondos bloqueados, parece que la gente ha olvidado que los peligros ocultos aún existen bajo la apariencia de prosperidad.

El protocolo Yearn Finance fue atacado

A principios de 2021, el proyecto líder de Finanzas descentralizadas, Yearn Finance, sufrió un ataque de préstamo relámpago. Según el análisis de las agencias de seguridad, el atacante se dirigió al fondo de estrategias DAI de Yearn Finance. El proceso del ataque es aproximadamente el siguiente:

1. Obtener una gran cantidad de ETH a través de un préstamo relámpago en la plataforma de préstamos.
2. Utilizar ETH prestado para pedir prestado DAI y USDC en Compound
3. Invertir la mayor parte de los fondos en el fondo DAI/USDC/USDT de Curve, controlando la mayor parte de la liquidez.
4. Manipular la proporción de tokens en el pool para devaluar el DAI relativamente
5. Utilizar el precio desbalanceado para depositar DAI en el fondo de estrategia de Yearn y obtener tokens 3CRV
6. Restaurar el equilibrio de proporción de tokens en el fondo
7. Activar el retiro del fondo de estrategia Yearn, lo que resulta en que se pueda recuperar menos DAI por igual 3CRV.
8. Debido a que controlaban la mayor parte de la liquidez, los atacantes obtuvieron la mayor parte de DAI que Yearn no pudo recuperar.
9. Devolver el préstamo relámpago después de repetir los pasos anteriores varias veces, completando así el arbitraje.

Este ataque causó pérdidas de hasta diez millones de dólares a Yearn Finance.

La raíz del problema radica en un mecanismo de precios débil

La combinación de YFI y Curve utiliza diferentes valores netos de las participaciones de LP para calcular las cuotas y, a su vez, determinar el precio; este mecanismo es fácil de manipular. Actualmente, cada protocolo de Finanzas descentralizadas es como un país diferente, estableciendo sus propias reglas. Los arbitrajistas buscan oportunidades de arbitraje combinando diferentes reglas.

Problemas subyacentes expuestos por la manipulación de precios

Actualmente, muchos desarrolladores de Finanzas descentralizadas se centran demasiado en la velocidad y la eficiencia, ignorando la esencia de la blockchain. La red de Bitcoin garantiza la seguridad a través de la verificación conjunta de todos los nodos; aunque la eficiencia no es alta, resuelve el problema de confianza descentralizada.

Si el mecanismo de precios depende únicamente de unos pocos nodos "confiables" o de simples participaciones de LP, y los usuarios no pueden verificar de manera efectiva, entonces este precio carece de una base de consenso. Basado en esto, los economías en cadena también tendrán dificultades para aumentar su seguridad a medida que se expanden, lo cual va en contra de la esencia de la blockchain.

Mantener la descentralización y la verificabilidad

Algunos protocolos descentralizados insisten en generar datos de precios sin espacio para arbitraje en la cadena, para que otros protocolos de Finanzas descentralizadas los utilicen. A medida que aumenta el tamaño de los participantes, la calidad de los datos de precios en la cadena también mejorará. Estos precios en la cadena generados por un juego no cooperativo de múltiples partes son la base de seguridad que vale la pena perseguir.

Mantener la esencia descentralizada de la blockchain es el principio fundamental del desarrollo de la industria. Solo un ecosistema de Finanzas descentralizadas basado en el consenso y la verificabilidad puede lograr un desarrollo estable y sostenible a largo plazo.