TL;DR

  • El protocolo Resolv fue explotado por 25 millones de dólares debido a una debilidad estructural en la stablecoin USR
  • El mismo tipo de vulnerabilidad ha afectado a Morpho, Euler y Fluid durante el último año
  • El patrón de ataque está bien documentado, pero la industria DeFi sigue construyendo sobre él
  • El mercado está en modo de aversión al riesgo con el Índice de Miedo y Codicia en 11/100

El ataque a Resolv: Un problema recurrente en DeFi

El protocolo DeFi Resolv fue recientemente afectado por un exploit que drenó el equivalente a 25 millones de dólares de su stablecoin USR. Según The Defiant, el ataque no fue sorprendente: el fallo estructural subyacente que fue explotado ha sido conocido en la industria durante más de un año.

Lo que hace esto particularmente grave es que debilidades idénticas han sido utilizadas anteriormente para drenar cientos de millones de dólares de Morpho, Euler y Fluid en conjunto. Sin embargo, los protocolos han continuado construyendo nuevos productos sobre la misma arquitectura vulnerable.

La industria conocía el fallo. Siguió construyendo de todos modos.
25 millones de dólares perdidos: DeFi comete el mismo error una y otra vez

Debilidad estructural, no un infortunio accidental

El exploit en Resolv sigue un patrón sobre el cual la comunidad de seguridad de DeFi ha advertido repetidamente: los oráculos de precios —los sistemas que obtienen y entregan datos de precios de mercado a los contratos inteligentes— pueden ser manipulados si no están suficientemente descentralizados o carecen de una amplitud de fuentes de datos adecuada.

Cuando una fuente de precios puede ser influenciada, los atacantes pueden desencadenar liquidaciones artificiales, drenar fondos de los pools de liquidez o ejecutar arbitraje rentable a expensas de los usuarios del protocolo.

Esto es el núcleo de lo que The Defiant describe como una industria que «siguió construyendo sobre» un fallo conocido.

25 millones de dólares perdidos: DeFi comete el mismo error una y otra vez

Lo que la tecnología de defensa realmente puede hacer

Existen soluciones. Redes de oráculos como Chainlink, Pyth Network y RedStone han desarrollado arquitecturas diseñadas específicamente para contrarrestar este tipo de manipulación.

Chainlink utiliza la agregación de múltiples fuentes de datos independientes y requiere que los operadores de nodos apuesten tokens LINK, con el riesgo de perder su apuesta en caso de informes incorrectos. Pyth Network produce datos de precios cada 400 milisegundos de más de 125 publicadores de primera parte, incluyendo grandes firmas de trading. RedStone implementa lo que llaman «Precio Promedio Ponderado por Liquidez» (LWAP), que busca asegurar que la manipulación de precios a través de mercados de baja liquidez no pueda afectar los valores reportados.

Además, existen mecanismos como los precios promedio ponderados por tiempo (TWAP), la agregación de múltiples oráculos y funciones de contratos inteligentes que pueden pausar operaciones en caso de datos de precios desactualizados o sospechosos.

El problema no es la falta de herramientas

La comunidad de seguridad señala que las herramientas para prevenir la manipulación de oráculos existen y están disponibles. El problema es que los desarrolladores de protocolos o no las integran lo suficientemente bien, o eligen priorizar el lanzamiento y el crecimiento sobre una seguridad robusta.

El mismo fallo estructural ha drenado cientos de millones de DeFi durante el último año, y la industria optó por seguir construyendo sobre él de todos modos.

El contexto del mercado no lo facilita: con Bitcoin alrededor de los 70.800 dólares y el Índice de Miedo y Codicia en 11 de 100, el mercado se encuentra en una clara fase de aversión al riesgo. En tales períodos, el capital es más vulnerable y los usuarios están más nerviosos, lo que amplifica las consecuencias de las brechas de seguridad.

Lo que la industria debe hacer

La investigación en seguridad señala varias medidas concretas que pueden reducir significativamente el riesgo:

  • Uso de redes de oráculos descentralizadas con amplia cobertura de fuentes de datos y verificación criptográfica
  • Implementación de TWAP y disyuntores que limiten el daño por desviaciones repentinas de precios
  • Auditorías de seguridad regulares e independientes antes y después del lanzamiento de nuevos productos
  • Monitoreo en tiempo real de las fuentes de precios para detectar anomalías antes de que sean explotadas

La pregunta ya no es si la tecnología está disponible. La pregunta es si la industria priorizará su adopción, o si el próximo protocolo ya se está construyendo sobre el mismo fundamento defectuoso.