¿Cuáles son los riesgos relacionados con las DeFi?

Las Finanzas Descentralizadas (DeFi) se oponen a las Finanzas Centralizadas (CeFi), que se asemejan a las finanzas “tradicionales”. Las DeFi permiten a cualquier particular de tener acceso a productos más o menos arriesgados que suelen estar reservados para profesiones reglementadas: bancos de negocios, fondos de inversión, etc.

Las DeFi se caracterizan por un cierto número de particularidades:

  • Son “permissionless” es decir que los usuarios no necesitan pedir el acceso a una autoridad cualquiera.
  • Se utiliza gracias a las plataformas de tecnología blockchain y recoge todas sus características: seudónimo, inmutable y casi siempre basadas en el uso de algoritmos.
  • Implican numerosos riesgos.

Estos riesgos son de diversas naturalezas y piden ser rigurosos con la gestión vuestros fondos.

Tabla de contenidos
  1. El riesgo del “Honey Pot”
  2. El riesgo del “Rug Pull”
  3. El riesgo de un smart contract defectuoso
  4. El riesgo de hacking
  5. El riesgo de la conexión fraudulenta
  6. Algunos consejos básicos

El riesgo del “Honey Pot”

Lo que la comunidad crypto llama un “honey pot” o “tarro de miel” consiste en el hecho de que sus fondos de criptomonedas se ven absorbados después de una acción que no tendría que haber hecho.

El problema del honey pot es que puede tomar formas diferentes: conexión a una DEpp, aprobación de una transacción, falso mint de un NFT, interacción con tokens maliciosos, etc.

Para evitar una mala sorpresa, tenéis que ser obligatoriamente muy rigurosos y atentos:

Sobretodo no hay que comunicarse con un token desconocido que apareció de repente en vuestro wallet, primero tenéis que buscar información sobre este token en internet y en las redes sociales, seguramente hubo una víctima antes. Tenéis que mover vuestros fondos hacia otra dirección, incluso hacia otro wallet.

Siempre hay que informarse en el proyecto NFT que queréis mint:

  • ¿Cómo se ve? ¿Es arte robado?
  • ¿Es un trabajo de calidad?
  • ¿El proyecto tiene una página web?
  • ¿Cuál es la calidad de esta página?

Entendéis que la mayoría de los estafadores no son artistas y buscan el beneficio rápido, entonces habrá que detectar señales débiles: el producto no está bien terminado, de calidad media o mediocre, disponéis de poca información en cuanto al futuro del proyecto, obtenéis respuestas imprecisas o huyentes de parte de los administradores…

El riesgo del “Rug Pull”

No se trata de un riesgo “técnico”, ya que no es un problema de código mal desarrollado o fraudulento. El Rug Pull significa “irse con la caja”, es decir que el protocolo en el cual habéis depositado vuestros fondos se gestiona por usuarios con malas intenciones, que os han robado vuestras ganancias.

Es difícil predecir porque los únicos responsables son el equipo del proyecto en sí. Sin embargo, un rug pull puede ser identificado con el rayo de pistas descrito anteriormente: pocos medios invertidos, etc.

El riesgo de un smart contract defectuoso

El riesgo del smart contract defectuoso está presente desde el instante en el que interactuamos con las DeFi. Un error dentro del código del smart contract utilizado (vía una Dapp) podría dejar aparecer un fallo de seguridad. Esto tendría como consecuencia la pérdida de vuestros fondos debido a un error informático o a la explotación de un fallo.

Generalmente, las aplicaciones que interactúan con las redes blockchains establecen dos formas de seguridad:

  1. El bug bounty recompensa a los desarrolladores que han encontrado fallos de seguridad. Los protocolos apuestan por la amabilidad de las personas que han encontrado el fallo y les dan una recompensa financiera (en btc o eth por ejemplo) por su ayuda. Estas prácticas se han profesionalizado y se convirtieron en un trabajo: el “white hat”.
  2. La auditoría del código realizada por expertos de desarrollo de smart contracts. Cuanto más numerosas y complejas son las auditorías, más seguro se considera el protocolo.

Mención honorable a la durabilidad de un proyecto en el tiempo: un proyecto que perdura en el tiempo sin haber sido nunca atacado con una “total value locked” (TVL) consecuente es, de alguna forma, un bug bounty que nunca ha sido arreglado. Un proyecto conocido jamás atacado puede ser una señal de buena seguridad.

El riesgo 0 no existe y el riesgo de errores persiste también con las auditorías más serias. Apuntamos que este riesgo aumenta naturalmente con el uso de diferentes “layers” o sobrecapas en una misma red.

Entonces se aconseja exponerse a un sólo protocolo DeFi, porque en caso de un hackeo, os arriesgáis a perder la totalidad de vuestros fondos y no podréis reclamar a vuestro banco para un reembolso.

El riesgo de hacking

Un riesgo que se añade al del smart contract defectuoso. Sin embargo, no es un bug que bloquea vuestros fondos, sino que es un fallo de seguridad gestionado por individuos malintencionados.

También es posible hackear a alguien sin tener grandes conocimientos en informática tomando el control a distancia del ordenador de la víctima por ejemplo. No usar programas hackeados, a menudo pasa que la gente se encuentra con un wallet vacío después de haber intentado copiar un juego o un programa de edición de vídeo o de foto.

El riesgo de la conexión fraudulenta

Los registros distribuidos tales como los del blockchain, son registros en línea y públicos. Entonces, el contenido de vuestros wallets es visible por todo el mundo. El seudónimo de vuestra dirección, clave privada y contraseña de vuestro wallet son los únicos que se interponen en contra de los robos.

Para evitar que una persona maliciosa os saque vuestros fondos, necesitáis imperativamente un hardware wallet como Ledger, que tendrá como efecto impedir la aprobación de transacciones cuando este está desconectado. De tal manera, aunque vuestro ordenador sufra un hackeo, será imposible que un ladrón mueva vuestros fondos.

Algunos consejos básicos

Esta lista no es exhaustiva, por lo tanto es muy importante que tengáis en la mente algunos trucos:

  • Proteger los fondos con un hardware wallet.
  • Ser desconfiado ante cualquier proyecto.
  • Hacer sus propias investigaciones ANTES de conectarse en la página web.
  • La primera conexión a una nueva Dapp tiene que ser con una dirección virgen con muy pocos fondos.
  • No tener confianza en nadie en las redes sociales (Twitter, Discord, etc).
  • Los administradores de un proyecto NUNCA mandarán un mensaje privado en una plataforma por iniciativa propia.
  • Tener conciencia que el riesgo 0 no existe, sobre todo si estamos hablando de las DeFi. Invertir únicamente lo que estáis dispuestos a perder.

Por otra parte, hay que estar alerta en cuanto a las sociedades especializadas en la verificación de proyectos, estas no son infalibles.

A continuación, un post que denuncia una sociedad que aprobó una colección de NFT que finalmente era un honey pot al momento de aprobar el mint.

Stay Safu !