A medida que el crecimiento en el uso de la infraestructura DEFI se asentaba, este movimiento alcista de adopción atraía la atención de millones de personas de todo el mundo seducidas por la oportunidad de poder usar sus assets por primera vez en la industria (fuera a parte de conocido staking, el cual ya fue un servicio innovador y rentable desde el 2017) como colateral, depósito o para crear productos financieros a medida y de forma directa.
Por desgracia, esta ventana de oportunidad y prosperidad también atrajo a muchos estafadores o, como a mí me gusta verlo, hizo explotar el ingenio de unos pocos (creando auténticos casos de ingeniería financiera) para aprovecharse de una gran masa carente de formación, educación financiera, matemáticas básicas y de gestión tanto emocional como financiera. Esta mezcla de conceptos eran idóneos para desatar la tormenta perfecta, asegurando a la gran mayoría de usuarios un desastre, por ello en este artículo me centraré en aquellos conceptos que atañen a la seguridad del entorno por dónde vamos a mover nuestros assets.
Las pérdidas de un usuario DEFI se dan por 2 motivos principalmente:
-El primero por no tener unos hábitos saludables de seguridad
-El segundo por no planificar y medir su actividad en las DEFI, lo que se conoce como productividad.
En este artículo hablaré de la seguridad. El “Modus Operandi” de lo que no ves tras la pantalla tiene este sencillo, brillante y eficaz procedimiento;
“se crea un proyecto, se crean canales de comunicación por RRSS, se atraen usuarios mediante marketing y campañas con el eslogan encubierto de “que puede salir mal, todo es rentable y seguro”, y se capta capital en contratos inteligentes (SC) que contienen una función de puerta trasera, la cual permite manipular los términos del SC y robar los fondos de los usuarios”.
Las cifras acompañan esta teoría, ya que sólo en el 2020 se perdieron 154 millones de dólares como resultado de las vulnerabilidades de seguridad en SC, incluyendo las pérdidas de proyectos maliciosos que no habían sido auditados por un tercero independiente, y por pérdida de proyectos legítimos pero que fueron explotados por hackers.
Con todo, determinar con exactitud lo que diferencia un SC de ser fiable a ser deshonesto es una tarea cuanto menos difícil, ya que el contexto con el que se montan los “SC estafa” es cambiante, ya que cada vez van mejorando y haciéndose imperceptible para el usuario menos cualificado, sin embargo es posible seguir algunos principios básicos de seguridad, los cuales nos ayudarán por un lado a analizar los SC y por otro a poder evaluar e identificar las intenciones de un proyecto, dándonos cómo resultado un scoring del riesgo.
Para ello me centraré en los contratos inteligentes y en el análisis del proyecto, cubriendo aspectos como funciones sospechosas dentro de los contratos inteligentes, inflación de tokens e incluso identificar las intenciones del proyecto mediante su presencia en las redes sociales. Te adelanto que no hace falta ser un experto ni un técnico en esta materia, pero sí es necesario demostrar interés, voluntad, compromiso y ganas de llegar a entender cómo y por qué los actores maliciosos del mercado construyen estas estafas. De esta manera podrás decidir por ti mismo cuán segura y rentable es una oportunidad de inversión en las DEFI.
Smart Contract, su análisis
Las plataformas DEFI están asociadas inevitablemente a contratos, estos pueden ser más o menos complejos pero todos hacen lo mismo, cumplir las funciones con las que han sido programados, las cuales tú aceptas una vez lo firmas. Analizar algunas de las funciones de los SC nos ayudará a construir una visión mucho más clara en cuanto a la confianza en la plataforma, y qué analizar.
1. El grado máximo de desconfianza que me arroja un SC es cuando éste no es propiedad de la propia plataforma si no que es propiedad de una cuenta externa, ya que de por sí contradice totalmente el concepto de finanzas descentralizadas. De entrada no sé a qué funciones puede llamar esta propiedad externa, pudiendo llamar a funciones que afectan directamente a la seguridad de los fondos del usuario, funciones que afecten a las condiciones de inversión del proyecto, la acuñación de tokens, la transferencia de propiedad o el cambio de tarifas y tasas de recompensa. Te animo siempre a que, como regla general, elijas SC que sean propiedad del protocolo y SC que garanticen que las direcciones del propietario del SC se quemen.
2. La función de acuñación infinita dentro de un SC representa un grave riesgo, ya que esta función puede es utilizada para acuñar tokens y seguidamente venderlos de forma descontrolada y masiva, llevando el precio al cero más absoluto, y lo que es pero de una forma irrecuperable.
3. La inflación de los tokens , que es una posibilidad totalmente legítima y clara si no se establece claramente en el SC la oferta máxima de tokens, participando aquí variables como la de acuñar ilimitadamente tokens o no, fijar un proceso de quemado de los mismos, agravando más este hecho.
4. La función migrar puede representar un grave riesgo para los agricultores de rendimiento, ya que suele ser utilizada por los estafadores para mover los fondos de un contrato a otro (incluso centralizado) con el fin de ponerlos a la venta de una forma rápida e inmediata.
5. Los proyectos deben, como norma no escrita, introducir en las condiciones del SC un periodo de bloqueo de los tokens, para evitar que cualquier usuario e incluso que cualquier miembro del equipo venda de forma prematura los tokens que tiene asignados. Si el proyecto implementa un periodo de bloqueo de fondos, asegúrate que satisface en grado tu valoración del riesgo en cuanto a pérdida de valor del token.
6. La temida función pausa, la cual permite a su creador pausar un SC incluso si tiene fondos depositados en él, por lo tanto nadie podrá acceder a sus fondos hasta que la pausa termine. Para entender la magnitud del daño que puede hacer esta función en un SC, aplícala a que si por ejemplo se detecta durante la pausa una vulnerabilidad del SC y los fondos deben ser transferidos a un lugar seguro hasta que se solucione esta vulnerabilidad, no se podrá hacer mientras esté pausado el SC, y lo que es peor imagina que el precio del token por este fallo detectado le lleva a 0, no podrás venderlos al mercado ya que esta función de pausa te impide acceder a tus fondos.
7. Un contrato inteligente puede incluir funciones sospechosas y diseñadas intencionalmente por el equipo de desarrollo para aprovecharse de los fondos de los usuarios. Estas funciones sin duda traerán resultados desfavorables en el tiempo.
8. Si un SC trae en su programación un bloqueo de tiempo, tus transacciones sufrirán retrasos en su ejecución, dicho de otra manera se ralentiza una orden de venta o de compra en el propio bloque, quedando así controlado este proceso. Esta función se usa para dar una gran oportunidad tanto a desarrolladores cómo a bots de adelantarse a tu operación, perjudicándote enormemente tanto en los fees como en el resultado final de la misma, ya que venderás más barato o comprarás más caro porque sencillamente alguien se te adelantó.
9. Comprueba y localiza siempre dónde se almacenan tanto los fondos depositados por los usuarios, como las recompensas de los mismos, ya que todo ello podría estar siendo guardado por un tercero o ir a manos del equipo de desarrollo al ser depositado en un SC donde éstos tienen el control absoluto del mismo.
10. Verifica si o si el código del SC, debe coincidir el que aparece publicado con el que está escrito y reflejado en su blockchain, para ello usaremos los diferentes exploradores de bloques que tenemos a nuestra disposición. Para ser más concretos iremos al explorador de la red dónde ha sido creada la plataforma y su token.
11. Si un propietario privado tiene más del 15% de los tokens en el modo de reparto de los mismos (tokenomics), existe el riesgo de la falta de integridad con el proyecto, lo cual le hace gozar de una posición ventajosa a la hora de vender sus tokens y llevar el precio del mismo a 0. Revisa con atención la distribución de los tokens en cuanto al equipo y su periodo de vesting (bloqueo).
Proyecto, su análisis
En este caso no me refiero al análisis técnico de los SC, me refiero al hecho de considerar otros aspectos y características para poder identificar estafas fuera del ámbito de la programación, y más en el ámbito de la gestión interna del propio proyecto, en funciones clave tipo lo que busca conseguir, quién lo dirige y cómo lo dirige. Para ello voy a intentar detallar algunos aspectos importantes y singulares que todos los proyectos tienen en común, sea de la red que sea.
1. Gobernanza, importante que un proyecto implante un sistema de gobernanza descentralizado, dónde los usuarios puedan participar de la toma de decisiones, proporcionando un entorno de inversión mucho más seguro. El detalle es verificar si el voto procede de la cadena o es fuera de ella, la ejecución no es la misma e incluso la propuesta a votar tampoco.
2. Documentación, su calidad dice mucho de un proyecto en todos los sentidos, en ella debemos comprobar el white paper, su funcionalidad o el sistema empleado para la creación de los contratos inteligentes. Es interesante poder valorar además si estos documentos sólo contienen algunas descripciones generales o por contra las especificaciones técnicas y fundamentales del proyecto son de una gran calidad y detalle.
En general todo código que se publique en un repositorio debe ser claro y conciso (GitBook o GitHub) para que los usuarios puedan leerlo fácilmente y entender que funcionalidad hay bajo el proyecto. Si el código es complejo puede ser debido a una intención clara de ocultar puertas traseras u otras funcionalidades maliciosas.
3. El posicionamiento, el comportamiento y el historial del equipo de desarrollo es vital para entender si el proyecto es abierto, flexible y resolutivo ante una comunidad, un problema y una solución. Debes poder siempre responderte a preguntas como si es un equipo abierto o anónimo, si el proyecto incluye un repositorio de software abierto, cuál es el historial de desarrollo del proyecto, qué experiencia tienen los miembros del equipo del proyecto o si se confía en la reputación de los miembros del equipo.
4. Su presencia en las redes sociales nos demuestra si son buenos comunicadores, si publican actualizaciones frecuentes sobre el desarrollo y el estado del proyecto. También podemos valorar cómo de activo es su blog, su sitio web y otros canales de comunicación para determinar con qué regularidad se comunican.
Por lógica debemos evitar los proyectos que no proporcionan información completa, ignoran preguntas o no responden a las peticiones de los usuarios. Evita también proyectos que ofrecen promociones extrañas o hacen promesas sospechosas de gran rentabilidad.
5. Singularidad, antes de invertir en un nuevo proyecto intenta comprender de dónde procede el rendimiento que ofrece y qué valor aporta al ecosistema (si es copia de copia y no es nada original, tampoco lo serán tus resultados). Debemos ser conscientes, ya por la madurez en cuanto a la comprensión del propio ecosistema, de que si no hay ideas innovadoras detrás de un proyecto, tampoco debe haber razones para invertir en él.
6. Por último y no menos importante la automatización de ciertos procesos, por ejemplo la auditoría de seguridad de los SC, este punto puede ser un gran factor diferencial para tu operativa, tu gestión y tu confianza en el ecosistema DEFI. Sigue y estate al día de todos aquellos sistemas que se basan en la tecnología de aprendizaje automático (IA) capaces de por auditar SC desplegados en diferentes redes.
“Si quieres seguir poniendo más énfasis a la seguridad, busca de cada protocolo con el que vayas a interactuar información en cuanto a saber si tiene o no multifirma, cuantos pertenecen a esta multifirma y cuántos son necesarios para validar la firma y ejecutar una transacción, si tiene o no un plan de emergencia por si algo sale mal, y si tiene un programa de bonificación en las búsqueda de fallos en el SC”