Glosario

Ataque de préstamo flash

Moderate

Los ataques de préstamos flash son cuando actores maliciosos explotan un contrato inteligente.

¿Qué es un ataque de préstamos flash?

Los ataques de préstamos flash son exploits de finanzas descentralizadas (DeFI) donde un contrato inteligente designado para apoyar la concesión de préstamos flash es atacado con el fin de desviar los activos almacenados en un fondo común concreto. En tales ataques, el actor malintencionado abre un préstamo, usa ese capital prestado para comprar otros activos con arbitraje y rápidamente paga su préstamo, tomando como beneficio los activos que les quedan a lo largo de todo el proceso.
Es importante entender que esta exposición solo puede ocurrir dentro de los protocolos DeFi, ya que no tienen permisos y están completamente administrados por contratos inteligentes. Aunque la desintermediación ofrece muchas ventajas, como el ahorro de costes y la resistencia a la censura, el hecho de que no haya un tercero que supervise la concesión de préstamos sin garantía mediante contratos de préstamos flash hace que las plataformas DeFi sean susceptibles de sufrir este tipo de ataques.

Este tipo de actividad maliciosa es realmente compleja y difícil de llevar a cabo, pero de alguna manera hay muchos casos en los que los ciberdelincuentes han tenido éxito en este esfuerzo.

La mayoría de los ataques de préstamos flash implican el uso de capital prestado para arbitrar activos de otros protocolos DeFi. Por ejemplo, en uno de los ataques de protocolo bZx, el hacker sacó un préstamo de un contrato e inmediatamente lo convirtió en stablecoins. Pero dado que los contratos inteligentes solo funcionan en función de los datos que se les alimentan, pueden ser vulnerables a algunas hazañas. El atacante se aprovechó de eso manipulando el precio de la stablecoin, sUSD, al colocarle una gran orden de compra, lo que ayudó a llevar el precio de la stablecoin al doble del valor que se suponía que tenía que ser. A partir de ahí, sacó un préstamo más grande usando el SusD que intercambió como garantía. Luego, él reembolsó todos estos préstamos y se llevó los activos restantes con él como ganancia.

Otro conocido ataque de préstamos flash ocurrió antes, en la misma plataforma. El atacante del préstamo flash contrató un préstamo flash en dYdx, que es una DApp de préstamo, y envió el capital de ese préstamo flash tanto a Compound como a Fulcrum: en Fulcrum, el atacante puso en corto ETH contra Wrapped Bitcoin (WBTC), al tiempo que también contrataba un préstamo Compound de WBTC. Sin entrar demasiado en los detalles, cuando el precio de WTBC se bombeó debido a los efectos de Fulcrum adquiriendo WBTC, el atacante de préstamos flash volteó su WBTC en Uniswap, lo devolvió el suyo y se salió con la suya con cualquiera de los ETH sobrantes.

En mayo de 2021, el popular agregador de cultivos de rendimiento basado en la cadena BNB PancakeBunny también experimentó un ataque de préstamos flash. El atacante de préstamos flash tomó prestada una gran cantidad de BNB en PancakeBunny, manipulando así su precio contra la stablecoin Binance USD y los tokens Bunny. Cuando el hacker de préstamos flash arrojó su Bunny al mercado, el precio se desplomó.