DeFi se enfrentó a su propio evento de contagio la semana pasada después de que Euler Finance perdiera casi 200 millones de dólares a través de seis préstamos flash y una vulnerabilidad.
Fue un duro golpe para el sector; Euler había sido visto como el siguiente gran bloque de construcción después de Compound y Aave.
Más allá de lanzar activos de larga cola en el protocolo y el riesgo de apuestas à la Cream Finance, el popular prestamista cripto creó grupos de préstamos aislados para ayudar a silenciar los daños colaterales en caso de que los degens pidieran prestado contra el memecoin equivocado.
Ahora, sin embargo, todo el barco está hundido.
No es sólo eso: junto con Euler, aproximadamente otros 10 protocolos DeFi se vieron afectados gracias a las diversas integraciones establecidas en el camino. Yield Protocol, Swivel Finance, Angle y varios otros anunciaron su nivel de exposición a sus comunidades.
Irónicamente, esta capacidad de recortar y conectar varios fondos de liquidez y plataformas de préstamo en todo el ecosistema era uno de los pilares clave de DeFi.
Composability, lo llamaban los desarrolladores. Money legos, gritaban los gurús de los memes.
«Los protocolos componibles son la columna vertebral de DeFi y de la tecnología blockchain en general, y son una superpotencia para creadores y usuarios», explica a TCN Gustavo González, desarrollador de soluciones de OpenZeppelin. «Pero como cualquier superpotencia también presentan riesgos que hay que tener en cuenta a la hora de diseñar y desarrollar un sistema de contratos inteligentes».
Los acontecimientos del martes revelaron precisamente cómo esos riesgos pueden convertirse en una bola de nieve que se convierta en un pandemónium.
«El exploit de Euler Finance y el impacto inherente en más de diez protocolos DeFi que dependían de Euler Finance nos muestra la otra cara de la componibilidad», dijo a TCN el jefe de riesgos del protocolo de rendimiento Spool, Hendo Verbeek. «Contagio por extensión, lo que es aún más agrio dado que una parte saludable de la base de usuarios DeFi tiene una comprensión limitada cuando se trata de cómo los protocolos se utilizan entre sí. «
Ciertamente, muchos degens se sintieron sorprendidos por el hackeo. Después de todo, Euler se había sometido a seis auditorías diferentes de algunas de las principales empresas de auditoría de software del sector.
Entonces, ¿qué ocurrió?
Inicialmente parecía que se habían realizado varios cambios en los contratos inteligentes subyacentes que no habían sido auditados, lo que sugería que estos cambios precisos habían provocado la vulnerabilidad del protocolo. En su autopsia, sin embargo, Euler explicó que «aunque el código vulnerable fue revisado y aprobado durante una auditoría externa, la vulnerabilidad no se descubrió como parte de la auditoría».
Euler Labs colabora con varios grupos de seguridad para realizar auditorías del protocolo Euler Finance.
Aunque el código vulnerable fue revisado y aprobado durante una auditoría externa, la vulnerabilidad no se descubrió como parte de la auditoría.
La vulnerabilidad permaneció en la cadena durante ocho… https://t.co/cEaGIPI7Vk
– Euler Labs (@eulerfinance) 14 de marzo de 2023
Es claramente un proceso complicado para el grupo de auditoría en cuestión, y la persona detrás de Officer’s Notes, una cuenta de Twitter anónima que rastrea hacks y opsec en el mundo criptográfico, dijo a TCN que la industria todavía está esperando un proceso de seguridad estándar.
Mientras la industria espera dicho estándar, los proyectos deberían combinar auditorías de forma activa y apostar fuerte por las recompensas por fallos, «lo que acabará siendo más barato para una empresa/protocolo/proyecto que necesite que se comprueben sus contratos inteligentes», dijeron.
La de Euler tiene que ser una de las mayores pérdidas en DeFi desde hace tiempo. Aún así, todavía no ha terminado para la narrativa del lego del dinero, dijo González de OpenZeppelin.
«Es sólo otro recordatorio de por qué la seguridad es difícil y la supervisión es importante», afirma.
DeFi está lejos de haber terminado, sólo hay que saber dónde buscar.
¿Cómo le fue a DeFi durante el caos bancario?
Mientras Circle se tambaleaba con 3.300 millones de dólares encerrados en un banco que se hundía poco a poco, su stablecoin se desplomó hasta los 0,87 dólares.
Muchos degens apostaron en este pico mínimo, pidiendo prestadas USDT contra ETH para hacerse con el token con descuento, y desde entonces han resurgido victoriosos.
Otros redujeron sus pérdidas y huyeron a pastos más descentralizados.
La capitalización de mercado de DAI de Maker fue un gran ganador en todo esto. A pesar de que su respaldo se compone principalmente de USDC, y de que también se desplomó, la capitalización de mercado de la mayor stablecoin descentralizada se disparó y se ha mantenido ahí.
Lo mismo ocurre con LUSD de Liquity y la menos conocida RAI. Cada una de estas stablecoins ofrecía alternativas descentralizadas relativamente seguras cuando el SVB saltó por los aires.
Y mientras se apresuraban a salir, las plataformas que ofrecían las mejores ofertas en stablecoins quebradas alcanzaron nuevos volúmenes récord (y ganaron a sus proveedores de liquidez un buen dinero en el proceso).
Curve Finance registró un volumen de 6.030 millones de dólares.
Durante la semana del 11 de marzo, Uniswap hizo casi el doble en sus pools WETH-USDC, USDT-USDC y DAI-USDC.
Al final, no fue una victoria para DeFi. Pero sigue aquí, y está claro que los operadores siguen necesitándola.
Por ahora, tal vez sea suficiente.
