Últimamente vuelven a preguntar sobre los préstamos relámpago, así que mejor hablamos bien de este tema.

De hecho, los préstamos relámpago existen en DeFi desde hace un tiempo. Aave fue la primera en lanzar este concepto en 2020, y luego otros protocolos de préstamo lo adoptaron. Muchas personas al principio se sintieron atraídas porque rompe con las limitaciones de las finanzas tradicionales —sin necesidad de colaterales, sin revisión de crédito— para obtener grandes cantidades de dinero. Suena muy bien, pero en realidad su mecanismo es bastante ingenioso.

En pocas palabras, los préstamos relámpago son préstamos sin colateral que se realizan mediante contratos inteligentes en una misma transacción en un bloque. Tú tomas prestado, y debes devolver antes de que termine esa transacción; si no, todo el proceso se revierte automáticamente, como si nada hubiera pasado. Gracias a esta atomicidad, los prestamistas no asumen riesgo, por lo que pueden ofrecer préstamos sin requisitos de entrada.

Originalmente, esto era una función innovadora para soportar arbitraje, gestión de liquidez y otros usos legítimos. Pero también puedes imaginar que algunos empezaron a jugar con malas intenciones.

Lo que más me impactó fueron los ataques de préstamos relámpago en 2020. Un atacante tomó ETH en préstamo relámpago desde dYdX, y luego repartió ese dinero en Compound y Fulcrum. En Fulcrum, shorteó ETH contra WBTC, y al mismo tiempo compró grandes cantidades de WBTC en Uniswap a través de Kyber. Debido a la poca liquidez de WBTC en Uniswap, esta operación elevó directamente el precio de WBTC. Como resultado, Fulcrum tuvo que comprar WBTC a un precio superior al del mercado, y el atacante aprovechó la diferencia de precio para hacer arbitraje, devolvió el préstamo en ETH y obtuvo una ganancia neta.

Hubo otro ataque dirigido al protocolo bZX, donde el atacante usó un préstamo relámpago para comprar sUSD en Kyber, elevando el precio del stablecoin de 1 a 2 dólares. Como los contratos inteligentes solo miran el precio en la cadena y no entienden la anclaje real del stablecoin, el atacante pudo tomar prestado más ETH con sUSD duplicado y huir con las ganancias. Todo esto ocurrió en un solo bloque.

Al ver estos casos, mucha gente empezó a preocuparse de si los préstamos relámpago serían una bomba de tiempo para DeFi. Pero en realidad, las soluciones de defensa también están evolucionando.

La opción más directa es usar oráculos descentralizados. En lugar de confiar en el precio de un solo DEX, se puede agregar el «precio real» desde múltiples fuentes de datos. Así, incluso si alguien intenta manipular el precio, el oráculo puede detectar anomalías. Otra estrategia es aumentar la frecuencia de actualización de precios, para que estos estén siempre lo más actualizados posible y reducir el tiempo en que se puede manipular.

Una forma más ingeniosa es el precio medio ponderado en el tiempo (TWAP). Este método usa el promedio de precios en varios bloques en lugar del precio instantáneo de un solo bloque, lo que hace mucho más costoso manipular el TWAP. Algunos protocolos incluso requieren que las transacciones crucen dos bloques para completarse, lo que aumenta aún más la dificultad de los ataques.

Por supuesto, a medida que los ataques relámpago se vuelven más complejos, los mecanismos de defensa también se mejoran continuamente. Ya existen protocolos que integran herramientas de detección de ataques, capaces de identificar patrones de transacción anómalos en tiempo real.

Al final, DeFi sigue siendo un ecosistema muy joven. Los préstamos relámpago en sí no son el problema; el problema está en cómo diseñar protocolos más seguros. Cada ataque en realidad impulsa el avance del sector. Con medidas de protección cada vez más perfeccionadas, los préstamos relámpago volverán a su propósito original —apoyar aplicaciones financieras innovadoras— y no convertirse en una máquina de extracción para hackers.