Riesgos de seguridad en Finanzas descentralizadas: el protocolo YFI sufrió un ataque de flash loan

A principios de 2021, el antiguo rey de DeFi, el protocolo Yearn Finance, sufrió un ataque de flash loan, convirtiéndose en el primer caso de este tipo del año. Este evento volvió a generar preocupación sobre los problemas de seguridad en las Finanzas descentralizadas.

Los atacantes utilizan pasos de operación complejos para pedir prestado una gran cantidad de fondos a través de Flash Loans y realizar arbitraje entre la piscina de estrategia DAI de Curve y Yearn. El proceso específico incluye:

1. Tomar prestados grandes cantidades de ETH de múltiples plataformas
2. Utilizar ETH para pedir prestado DAI y USDC en Compound
3. Inyectar una gran cantidad de liquidez en el grupo DAI/USDC/USDT de Curve
4. Causar un desequilibrio en la proporción del fondo al retirar USDT
5. Depositar DAI en el fondo de estrategia de Yearn y activar la función earn
6. Restaurar la proporción del pool de Curve y retirar de Yearn
7. Repite los pasos anteriores varias veces para obtener ganancias.

Este ataque provocó pérdidas de hasta diez millones de dólares para Yearn Finance.

La raíz del evento no es el Flash Loans en sí, sino el mecanismo de precios frágil en los protocolos de Finanzas descentralizadas. La combinación entre YFI y Curve utiliza las participaciones de LP para determinar el precio, lo que es fácil de manipular. Esto refleja que los desarrolladores de DeFi actuales persiguen demasiado la velocidad y la eficiencia, ignorando la esencia de la blockchain.

A diferencia de Bitcoin, que garantiza la seguridad a través del consenso de toda la red, muchos protocolos de Finanzas descentralizadas dependen de un mecanismo de subida de precios simple, careciendo de una validación efectiva. Esto va en contra de la naturaleza descentralizada y impulsada por consenso de la blockchain.

El desarrollo futuro de las Finanzas descentralizadas debe adherirse al espíritu de descentralización y establecer un mecanismo de precios que pueda ser verificado por cualquier persona. Solo a través de precios en cadena generados por múltiples partes en juego se puede garantizar realmente la seguridad a largo plazo del ecosistema DeFi.