En Ethereum hay bots que están a la espera para comerse tus fondos bloqueados en las DeFi

¿Me creerías si te dijera que en la lista de espera de Ethereum se esconde mucho dinero listo para ser robado? Este espacio se conoce como la mempool y en el habitan miles de transacciones y contratos inteligentes con vulnerabilidades. La mayoría de las personas desconocemos cuáles son, pero los programadores de las DeFi son capaces de detectarlas y tomar provecho de ellas gracias a bots automatizados. Estos bots son las bestias que habitan un bosque oscuro, según Dan Robinson, investigador de Ethereum.

En el reciente artículo “Ethereum es un bosque oscuro”, Dan Robinson abre las puertas a un mundo que muchas personas desconocen. Se trata del mundo de los “bots de arbitraje de Ethereum”, los cuales supervisan los contratos inteligentes que se encuentran en la red de Ethereum para ubicar transacciones en espera, con el fin último de robar el dinero bloqueado en las transacciones.

Al inicio de su relato, Dan Robinson comparte que se encontraba revisando un canal de Discord de Uniswap cuando encontró un mensaje que le llamó la atención: se trataba de una persona que necesitaba recuperar tokens de Uniswap valorados en aproximadamente 12 mil dólares. Estos tokens fueron bloqueados accidentalmente porque se enviaron al contrato base de los tokens de liquidez de Uniswap.

Inicialmente Robinson pensó que el dinero no podría recuperarse, pero poco después se dio cuenta de algo: cualquier persona podría reclamarlos. Bastaría con ejecutar una función de Uniswap llamada burn para que el contrato inteligente detectara los tokens duplicados y regresar el valor de ellos a quien ejecutara la función burn.

Tratando de “adelantar” a los bots de arbitraje en Ethereum

Los bots a los que temía Robinson fueron descritos por Philip Daian en el paper Flash Boys 2.0. En dicho paper, Daian hablaba de cómo los “Bots de Arbitraje” o “High Frecuency Trading Bots” habían migrado desde Wallstreet a la blockchain de Ethereum para explotar las ineficiencias de los Exchanges Descentralizados (DEXs).

Una particular especie de estos bots, llamada Generalized Frontrunners, escanea la mempool de Ethereum en búsqueda de transacciones atascadas que puedan ser copiadas, modificadas para incluir la dirección del atacante y propagadas a la red con una comisión mucho más alta. Con esto buscan que los mineros las prioricen sobre las transacciones legítimas y así puedan “adelantarlas”.

Estando consciente de la existencia de los bots de arbitraje que asechan la mempool, Robinson consideró la situación como una bomba de tiempo, con los fondos atascados por más de 8 horas en la mempool de Ethereum sin ser detectados. Aunque nunca había visto a los bots en acción, sabía que salvar la transacción no sería sencillo. Si llamaba a la función burn, alertaría a los bots de arbitraje de la existencia de la transacción en espera.

Así que decidió proceder con cuidado y, junto a colaboradores, construyó una estrategia para salvar los fondos de la transacción. Diseñaron entonces un contrato inteligente compuesto de varias transacciones que se desencadenarían una tras otra para salvar los 12 mil dólares, de forma que los posibles bots no se percataran o pudieran hacer la secuencia correctamente.

Pero no salió como esperaban, fracasaron en su intento y un bot detectó la operación y robó los 12 mil dólares que se encontraban en la mempool.

Las DeFi son un entorno conflictivo en aspectos insospechados

Es evidente que los contratos inteligentes de las DeFi son uno de los territorios preferidos de los hackers. Las vulnerabilidades accidentales o intencionales en los contratos inteligentes permiten a los hackers hacer robos como en el caso de la DeFi Opyn. Son pocas las DeFi que gozan de confianza y Uniswap no es una de ellas.

Uniswap es una DeFi muy controversial. La ausencia de filtros ha permitido que la plataforma se llene de tokens que no cuentan con ningún respaldo, como reportó CriptoNoticias recientemente. Uniswap es un contrato inteligente en sí mismo y esto permite que muchas personas cometan errores o caigan en estafas al utilizar contratos inteligentes que no cumplen los requisitos para que sean ejecutados correctamente.

Aun así, los extensos casos de estafas, robos y hackeos no han disminuido la cantidad de personas que buscan hacer dinero movidos por el auge en los precios de Ethereum y tokens DeFi.