Las plataformas financieras descentralizadas, también conocidas como “DeFi”, fueron las protagonistas del ecosistema de las criptomonedas durante 2020. Un año después, aunque otras modas están llamando la atención, DeFi sigue vigente.
De hecho, si se evalúan en función del dinero depositado en sus contratos inteligentes, 2020 es insignificante en comparación con el casi USD 100 mil millones que llegó a monopolizar las finanzas descentralizadas a principios de este mes. Esto es 4 veces más que el máximo del año anterior.
Una de las motivaciones de muchos usuarios de DeFi, que les lleva a preferirlos a los servicios centralizados, es la sensación de seguridad y privacidad que estos proporcionan. En el intercambio descentralizado Uniswap, por ejemplo, es posible intercambiar tokens ERC-20 sin renunciar a la custodia de los fondos o proporcionar datos personales. Por lo tanto, se diferencia de los intercambios centralizados como Binance o Coinbase.
Para quienes quieran generar interés con los criptoactivos que poseen, en el campo de DeFi existen protocolos como Yearn Finance. Estos le permiten obtener un beneficio superior a los ofrecidos por plataformas centralizadas como Blockfi. Todo esto no es necesario completar las verificaciones KYC (acrónimo en inglés de “conozca a su cliente”).
Seguridad y privacidad en DeFi: ¿realidad o apariencia?
Una investigación realizada por especialistas de la empresa Brave Software y la institución educativa Imperial College London evalúa si DeFi es realmente seguro y privado. Se concluye que muchas de estas plataformas Tienen elementos en su código que permiten que estas áreas se violen fácilmente.
Los investigadores explican que varias plataformas financieras descentralizadas implementar guiones de terceros. Estas son secuencias de código o programas relativamente simples, escritas por alguien que no sea el desarrollador de DeFi.
«Si un sitio DeFi incorpora guiones, aquellos guiones puede interactuar con la API de billetera del usuario, lo que puede facilitar los ataques desde suplantación de identidad», Indique los especialistas. Añaden que el 66% de los protocolos de finanzas descentralizadas incorporan al menos una texto.
Un ataque de suplantación de identidad Se define como aquel que busca engañar a una persona para que realice acciones que no debería realizar, como enviar dinero a la dirección de un atacante.
Como ejemplo, se menciona el caso del intercambio descentralizado de 1 pulgada, que agrega un texto para facilitar la comunicación entre el usuario y el personal de soporte. Según los autores del estudio, el servicio lo proporciona un tercero y está integrado en una posición tal que “le brinda control total sobre el dominio de 1 pulgada”.
Entonces, si esa implementación de chat se vio comprometida, podría arreglárselas para robar fondos de las billeteras de los usuarios, o realizar transacciones directamente desde allí. Los profesionales que analizaron las plataformas aclaran que estas transacciones deben ser aprobadas por los usuarios. Aún así, indican que “una transacción bien elaborada en el momento adecuado engañaría a muchos”.
Por otro lado, también en relación con guiones, Brave Software e Imperial College indican que el 56% de las 78 plataformas DeFi analizadas incorporan al menos una texto de Google. Esto tiene un impacto importante en la privacidad, según explican, hasta el punto de que Google podría asociar direcciones de Ethereum con determinadas identidades.
Una vez más dan como ejemplo 1 pulgada que incorpora guiones de Google Analytics, para medir el tráfico a su sitio web. Cuando un usuario desea intercambiar ciertos tokens, el intercambio abre una página específica para esa operación. Así, el uso de Google Analytics también filtra la dirección Ethereum del usuario porque 1 pulgada coloca su dirección ”, se indica.
Entonces, según el informe, Google puede vincular la dirección de Ethereum con la información que ya puede tener sobre el usuario, incluida su identidad. En caso de que el usuario utilizara varios servicios financieros descentralizados, sería posible rastrear sus movimientos en todas las plataformas.
3 consejos para usar plataformas DeFi de forma segura y privada
Los autores del estudio, además de compartir las vulnerabilidades potenciales de los protocolos financieros descentralizados, presentan formas de mitigar los riesgos.
Sugerir bloquear guiones analítico, que se puede hacer a través de extensiones de navegador como Privacy Badger. También hay navegadores que bloquean de forma nativa, incluidos Brave Browser y Tor Browser. Esto evita que los proveedores de análisis puedan vincular las direcciones de Ethereum (u otras cadenas de bloques) con identidades del mundo real.
Además, los especialistas recomiendan no conecte la billetera a una plataforma a menos que exista una necesidad real de hacerlo.
“Recomendamos tratar la dirección de Ethereum como información de tarjeta de crédito o cuenta bancaria. Es decir, revelarlo solo de forma selectiva y cuando sea necesario.
Investigadores de Brave Software e Imperial College
Como tercer y último consejo, aunque no se menciona en el estudio que se informa aquí, el Ingrese solo a sitios web de confianza y de buena reputación. CriptoNoticias mostró recientemente una forma de estafa que consiste en enviar gotas de aire de tokens con nombres poco conocidos a diferentes direcciones.
Cuando el usuario busca dónde intercambiar ese token, llega a intercambios descentralizados prácticamente desconocidos. Allí, utilizando una técnica de suplantación de identidad, se logra que, en lugar de intercambiar el token, envíe todos sus fondos a la dirección del atacante.