Nota del editor: Este ensayo ha sido redactado en colaboración con Tony Sheng y Ben Sparango.
La mayoría de la gente habla de los servicios financieros de las criptomonedas (comercio, ahorro, préstamo, etc.) como «descentralizados» o «centralizados». Los defensores de las criptomonedas tienden a caracterizar a las primeras como menos arriesgadas porque los usuarios no tienen que confiar en una contraparte para custodiar sus activos, lo que elimina los riesgos de perder sus fondos a causa de un hackeo, una incorrección, una confiscación por parte de los gobiernos y otras formas de error humano o malicia.
La realidad no es tan binaria. Aunque el ideal platónico de la «descentralización» tiene ciertamente su atractivo, las garantías que ofrecen los productos y servicios actuales no pueden describirse con exactitud como simplemente «centralizados» o descentralizados. Estos productos y servicios se entienden mejor a lo largo de un espectro de modelos de confianza.
En este artículo, exploramos el concepto de confianza y mostramos cómo la confianza no es binaria, sino multidimensional. A continuación, utilizamos esas propiedades para desarrollar una «puntuación de confianza» para algunos de los principales productos y servicios del mercado actual, mostramos dónde se sitúan en esos espectros y, por último, sugerimos que el riesgo de custodia no siempre predice las puntuaciones de confianza.
Cada propiedad en este artículo incluirá tres sub-secciones: (1) su espectro de puntuación de confianza, (2) los principales productos y servicios en el espacio a lo largo de este espectro, y (3) las observaciones del mercado.
Propiedades de confianza
Antes de empezar a puntuar protocolos y empresas, debemos establecer un marco para generar puntuaciones. Definimos cinco propiedades que contribuyen a la confianza global que un usuario tiene que depositar en un producto o servicio cuando lo utiliza. Estas propiedades son:
- Custodia
- Inmutabilidad
- Seguridad verificable
- Protecciones legales y reglamentarias
- Seguro
Estas propiedades se determinaron formulando dos preguntas. Primero, «¿cómo podría un usuario perder sus fondos?» y, en segundo lugar, «en caso de necesidad, ¿cómo pueden los usuarios recuperar los fondos perdidos?».
Un usuario puede perder sus fondos de las siguientes maneras:
- Robo por parte del operador (custodia)
- Robo por parte de un hacker (custodia)
- Congelado por un operador (custodia)
- Congelado por un tercero (por ejemplo, las autoridades policiales) (custodia)
- Congelado por un error (seguridad verificable)
- Mal gestionado por un mal diseño del sistema (seguridad verificable)
- Las reglas del sistema cambian dejando a un usuario vulnerable a cualquiera de las anteriores (inmutabilidad)
En algunos casos, los usuarios pueden recuperar los fondos perdidos a través de una póliza de seguro formal (dentro o fuera de la cadena), o mediante un recurso legal.
A partir de estas cinco propiedades, definimos los criterios para determinar cómo puntuar un determinado producto o servicio del 1 al 5 (de mayor a menor confianza requerida; una puntuación más alta es mejor). En cada una de las cinco secciones siguientes, presentamos cada propiedad, establecemos los criterios de puntuación y puntuamos una muestra de 21 productos y servicios. Nuestra muestra busca la diversidad entre las categorías de productos (por ejemplo, intercambio, préstamos, otc) y el tamaño (intentamos elegir los proyectos y empresas más conocidos en cada categoría de productos).
Custodia
La custodia es la propiedad más comúnmente asociada a la confianza. Sin embargo, la custodia no es binaria. Clasificamos la custodia en la siguiente escala de cinco puntos.
ESPECTRO DE CONFIANZA
Mientras que #1 Con custodia y #5 Completamente sin custodia son fáciles de definir, las puntuaciones intermedias requieren una comprensión más profunda de cómo funciona cada producto y servicio. Hemos identificado tres propiedades que son las más relevantes (inspiradas en el trabajo de Chris Blec aquí): (1) la presencia de una clave de administrador con capacidad para confiscar o congelar fondos, (2) el bloqueo temporal y (3) la fuerza de la seguridad operativa en torno a la clave de administración. Las puntuaciones #2, #3 y #4 se determinan por el número de estas propiedades que posee un producto o servicio. Por cada una de estas características que incluye un protocolo, incrementamos la puntuación en un punto. En resumen:
- Con custodia: Los fondos de los usuarios son custodiados por el operador del producto o servicio. Por ejemplo, Coinbase es el único custodio de los fondos de los usuarios.
- Sin custodia, con clave de administrador: Mientras que el operador no está custodiando los activos del usuario, un contrato inteligente sí lo hace. Y si alguien (normalmente el promotor o promotores del contrato) tiene la autoridad para congelar, modificar o vaciar los activos de ese contrato, entonces los activos son potencialmente vulnerables. Por ejemplo, una versión anterior de Compound permitía que una clave de administrador (sin bloqueo de tiempo) drenara arbitrariamente los fondos de los usuarios (el equipo de Compound no lo hizo).
- Sin custodia, con una clave de administrador y un bloqueo de tiempo: Es lo mismo que lo anterior (2), pero en este caso, es más difícil que el operador comprometa los activos de los usuarios debido al bloqueo de tiempo. Por ejemplo, la versión actual de Compound sigue permitiendo que una clave de administrador realice cambios en el contrato, pero solo tras un periodo de espera de 48 horas. Esto da a los usuarios una ventana de tiempo para retirar sus fondos.
- Sin custodia, con una clave de administrador, bloqueo de tiempo y una fuerte seguridad operativa de la clave de administrador: Es lo mismo que lo anterior (3) pero con prácticas publicadas y verificables en torno a la seguridad operativa de la(s) clave(s) de administrador. No hubo ningún proyecto en nuestra muestra en el que la seguridad de los fondos de los usuarios dependiera de una clave de administrador y el proyecto tuviera un bloqueo de tiempo y una fuerte seguridad operativa de la clave de administrador. Es probable que esto cambie este año a medida que los proyectos mejoren su seguridad operativa y la comuniquen a sus usuarios.
- Completamente sin custodia: En este modelo, los contratos inteligentes custodian los activos del usuario y no hay ninguna puerta trasera de ningún tipo. Un ejemplo de ello es Uniswap.
PUNTUACIONES DE CONFIANZA
OBSERVACIONES
De las puntuaciones anteriores se desprenden tres observaciones interesantes.
En primer lugar, hay un equilibrio entre la minimización de la confianza absoluta (por ejemplo, Uniswap) y la capacidad de actualización. Mientras que tanto MakerDAO (puntuación de 4) como Uniswap (puntuación de 5) tienen una confianza relativamente reducida en lo que respecta a la custodia, MakerDAO es capaz de actualizar los parámetros del sistema a través de un sistema de gobernanza formalmente definido, mientras que Uniswap no puede modificar los contratos existentes en absoluto. Esto significa que, en muchas situaciones, los usuarios de MakerDAO no necesitan salir de los contratos antiguos y trasladar sus activos a los nuevos contratos para recibir algunas actualizaciones. Por otro lado, no hay forma de modificar los contratos o parámetros existentes de Uniswap; las reglas del sistema son estáticas, y no se pueden cambiar.
En segundo lugar, los productos y servicios de DeFi más utilizados están más cerca de sus homólogos centralizados que del ideal platónico de descentralización. En particular, las stablecoins requieren un alto grado de confianza porque la mayoría de las stablecoins están colateralizadas con dinero fiat. Compound y dYdX también son notables debido a su proporción relativamente grande de garantías en los protocolos DeFi. En dYdX y Compound, los equipos controlan las claves de administrador que pueden utilizarse para modificar los contratos inteligentes con algunas restricciones (por ejemplo, los bloqueos de tiempo).
En tercer lugar, casi todos los servicios con una puntuación de 2 a 5 se comercializan a sí mismos como «sin custodia» e implican en gran medida altos grados de minimización de la confianza y, por tanto, de seguridad. En la práctica, algunos usuarios están asumiendo realmente un riesgo de custodia significativo. Para utilizar con seguridad cualquiera de estos servicios, el usuario debe comprender los diseños subyacentes de los sistemas. La confianza ciega en protocolos sin custodia es un riesgo en sí mismo.
Inmutabilidad
Las reglas no importan si pueden cambiarse de manera arbitraria. Que las reglas cambien o no depende de (a) la motivación de las partes interesadas para cambiar las reglas y (b) el grado en que las reglas pueden cambiarse. Como (a) no es observable, nos centramos en (b), es decir, en la mutabilidad del sistema.
ESPECTRO DE CONFIANZA
Clasificamos la mutabilidad en una escala de #1 Totalmente mutable en la que los operadores pueden cambiar cualquier cosa a #5 Totalmente inmutable en la que nadie puede modificar la lógica del contrato, los parámetros del contrato o los indicadores/referencias. Las puntuaciones de #2, #3 y #4 están determinadas por el grado en que el sistema puede ser modificado.
- El operador tiene poder unilateral para realizar cambios en todos los aspectos del sistema. Por ejemplo, todos los intercambios centralizados (por ejemplo, Binance, Coinbase). Esto puede cambiar a medida que los tokens de intercambio desempeñen un papel más importante en la gobernanza.
- El operador tiene el poder de hacer cambios sobre la mayoría de los aspectos del sistema. Por ejemplo, los productos y servicios de DeFi sin un token de gobernanza (por ejemplo, Compound).
- El operador tiene el poder de realizar cambios en algunos aspectos del sistema. En nuestra muestra, el único producto que calificamos con un 3 fue Unchained Capital porque su producto principal es una «bóveda» multisig que es inmutable, pero sus productos auxiliares son más mutables.
- Los cambios tienen un alcance limitado y a menudo solo son posibles a través de una gobernanza descentralizada. Por ejemplo, los productos y servicios de DeFi en los que la mayoría de las decisiones son gobernadas por los titulares de los tokens (por ejemplo, MakerDAO).
- Nadie puede hacer ningún cambio. El único producto que puntuamos con un 5 fue Uniswap.
PUNTUACIONES DE CONFIANZA
OBSERVACIONES
La mayoría de los productos que hemos evaluado son más mutables de lo que no lo son (inclinándose por una puntuación de 1). Incluso los proyectos de DeFi no son especialmente inmutables. Esto significa que un usuario de DeFi o CeFi debe asumir que las reglas del sistema que utiliza pueden cambiar. Es importante destacar que incluso si el sistema parece cumplir con todos los requisitos de minimización de la confianza de un usuario en un momento dado, la capacidad del operador para cambiar las reglas significa que las garantías del sistema son débiles.
La mayoría de las veces, el cambio de las reglas es relativamente inofensivo e incluso esperado; por ejemplo, las reglas cambian cuando los intercambios centralizados añaden un conocimiento previo del cliente, el KYC (esto ha sucedido a casi todos los principales intercambios y esperan ver más de esto este año). Pero aunque sea poco probable que ocurra, es importante que el usuario entienda el peor escenario posible en el que un operador malintencionado cambie las reglas. El ejemplo más común de esto es una estafa de salida en la que un operador congela las retiradas y huye con el dinero (por ejemplo, Bitconnect).
Vale la pena señalar un matiz importante en torno a la inclusión voluntaria. Para las actualizaciones importantes del protocolo, como el Dai multicolateral de MakerDAO o el 0x v3, los usuarios (y los desarrolladores de terceros) tuvieron que migrar de la versión anterior a la nueva. Cuando Uniswap se actualice a la v2, los usuarios tendrán que hacer lo mismo. La inmutabilidad de la versión anterior crea fricciones para los usuarios (migrar es un dolor), pero también actúa como una barrera natural contra los cambios maliciosos en las reglas. En estos casos, los desarrolladores no pueden imponer los cambios a los usuarios, sino que estos deben realizar una inclusión voluntaria de forma activa.
Seguridad verificable
La pesadilla de todo inversor es despertarse un día y descubrir que sus activos han sido robados. Por desgracia, esta pesadilla se ha convertido en realidad para muchos operadores de criptomonedas. Los hackeos de intercambios son una ocurrencia común, que se remonta al hackeo de Mt. Gox de 2014 hasta el más reciente de Upbit de 2019.
Pero los «hacks de intercambio», en los que una vulnerabilidad de seguridad en un intercambio permite a los hackers obtener la clave privada y robar los fondos de los usuarios, no son la única forma en que los usuarios pueden perder dinero. Los errores de los contratos inteligentes pueden dejar los activos congelados o susceptibles de ser hackeados, como en el infame error de paridad que congeló más de 1 millón de ETH. Más recientemente, un error en el protocolo del mercado monetario bZx permitió a dos atacantes llevarse 370.000 y 665.000 dólares en dos operaciones distintas.
Los usuarios deben juzgar la seguridad de un producto. En algunos casos, no disponen de ninguna información: es una caja negra. En otros casos, todo el código es de código abierto y ha sido auditado de forma independiente por empresas de auditoría de renombre. En el primer caso, los usuarios deben confiar ciegamente. En el segundo, pueden validar la seguridad por sí mismos.
(Nota: hay muchos tipos de auditorías (financieras, de seguridad, de procesos e incluso económicas), pero a efectos de este artículo nos centramos en las auditorías de seguridad).
ESPECTRO DE CONFIANZA
Asignamos un #1 a las cajas negras y un #5 a los sistemas con seguridad verificable. Puntuamos la zona gris evaluando el grado de opacidad/transparencia de los productos y si sus sistemas han sido auditados y por quién. Una auditoría es mejor que ninguna, y varias auditorías independientes es lo mejor. La transparencia es mejor que la opacidad. (Nota: la verificación formal ayuda a reducir los riesgos de seguridad de los contratos, pero no la tenemos en cuenta en este artículo porque ninguno de los proyectos de nuestra muestra la tiene).
- Opaco y no auditado. Por ejemplo, un intercambio centralizado sin auditorías independientes. Esto es común en los intercambios de empresas emergentes.
- Opaco y con pretensiones de auditoría. Por ejemplo, Tether ha reclamado auditorías de solvencia, pero estas reclamaciones han sido en gran medida infundadas.
- O bien es transparente o auditado. Por ejemplo, BitMEX y FTX han declarado que han recibido auditorías, pero no hemos podido encontrar ningún informe independiente que confirme estas auditorías.
- Transparente y una sola auditoría u Opaco y auditado varias veces. Esto describe la mayoría de los grandes intercambios centralizados. Por ejemplo, Coinbase y Binance son opacas, pero ambas se han sometido a múltiples auditorías independientes.
- Todos los aspectos del sistema son públicos y han recibido múltiples auditorías profesionales. Esto se aplica a la mayoría de los grandes productos y servicios de DeFi.
PUNTUACIONES DE CONFIANZA
OBSERVACIONES
Una ventaja natural de los protocolos DeFi es que son transparentes porque se ejecutan en cadenas públicas y, por lo tanto, pueden ser verificados por cualquiera. (Nota: los contratos inteligentes no tienen que ser de código abierto, pero todos los principales contratos son de código abierto). Dado que los fondos de los usuarios están en riesgo y que escribir contratos inteligentes de forma segura es difícil, los proyectos más prominentes en el espacio han pasado por múltiples auditorías independientes. Esto puede explicar por qué los usuarios tienden a sentirse cómodos enviando sumas muy grandes a través de estos sistemas relativamente nuevos.
Los intercambios centralizados tradicionales se han profesionalizado rápidamente en los últimos años. Esto se debe en gran medida a la maduración del sector y a las mayores expectativas de los operadores.
Sin embargo, todavía existen algunos intercambios de vaqueros, especialmente irreverentes (por ejemplo, BitMEX) o advenedizos (por ejemplo, FTX). Curiosamente, la falta de seguridad verificable no ha impedido que estos intercambios de vaqueros atraigan usuarios y volúmenes significativos, ya que BitMEX es uno de los mayores intercambios y FTX es uno de los de más rápido crecimiento. De hecho, se puede argumentar que su falta de seguridad verificable es una característica, y no un error. Por ejemplo, la seguridad verificable requiere un conocimiento previo del cliente (KYC), que muchos operadores no desean, y una supervisión formal por parte de los reguladores de derivados, lo que dificulta la innovación y el desarrollo de nuevos productos.
Supervisión legal y reglamentaria
Aunque muchos en el sector de las criptomonedas celebran la liberación de los marcos legales y reglamentarios que rigen los productos y servicios financieros cotidianos, la mayoría de las personas se sienten cómodas sabiendo que, si algo va mal, existe un sistema legal que facilita el recurso. Además, la gente suele querer saber que la entidad con la que está haciendo negocios se rige por un régimen normativo y un sistema judicial de confianza. Los inversores institucionales, en particular, prefieren, y a menudo exigen, fuertes garantías legales y reglamentarias de sus contrapartes.
ESPECTRO DE CONFIANZA
Asignamos las calificaciones planteando la siguiente pregunta: «si los fondos de un usuario se pierden, ¿qué probabilidad hay de que los recupere mediante protecciones legales y reglamentarias?» En el caso de los productos DeFi, en particular, no hay ningún precedente legal en el que basarse, por lo que tendremos que actualizar estas puntuaciones a medida que se desarrolle la jurisprudencia. Por ahora, estamos evaluando estos protocolos lo mejor que podemos teniendo en cuenta la información actual.
- No hay protecciones. Esto se aplica a la mayoría de los productos y servicios de DeFi.
- Pocas posibilidades de que los usuarios estén protegidos por las leyes y los reglamentos. Esto se aplica a los productos y servicios financieros centralizados situados en jurisdicciones conocidas por su permisiva regulación financiera (por ejemplo, Seychelles).
- Una probabilidad razonable de que los usuarios estén protegidos por las leyes y reglamentos.
- Alta probabilidad de que los usuarios estén protegidos por las leyes y reglamentos.
- Garantías sólidas de que los usuarios estarán protegidos por las leyes y reglamentos. Esto se aplica a los productos y servicios financieros centralizados situados en la mayoría de los países desarrollados.
PUNTUACIONES DE CONFIANZA
OBSERVACIONES
Está claro que la supervisión legal y reglamentaria es la más binaria de todas las propiedades de la confianza. Los usuarios deben esperar o bien una protección legal casi nula, o bien una protección legal sólida.
Los protocolos con menos protecciones legales y reglamentarias son los que actualmente se encuentran en una zona no regulada por ninguna normativa de protección. Si algo va mal, no está claro qué autoridad policial u organismo regulador debe intervenir, si es que hay alguno.
Aunque los protocolos de financiación abierta no se han probado en los tribunales, las empresas (incluso las que se encuentran en jurisdicciones permisivas como las Seychelles) están obligadas por algunas leyes. Asignamos a estos intercambios un 2 porque hay algún sistema judicial que respalda las pérdidas.
En el otro extremo del espectro, las empresas que ofrecen las protecciones normativas más sólidas son las que están situadas en economías avanzadas como Estados Unidos, Europa, Corea, China y Japón.
Seguro
Los seguros en las criptomonedas van desde los muy conocidos (como la FDIC, que respalda a la mayoría de los bancos estadounidenses) hasta los muy nuevos (como los seguros descentralizados que protegen a los usuarios de las pérdidas financieras debidas a los errores de los contratos inteligentes).
Entre los intercambios de criptomonedas, Coinbase es el estándar de oro en este sentido. Además de tener un seguro de la FDIC para los depósitos en efectivo de hasta 250.000 dólares por usuario, Coinbase también asegura los depósitos de criptomonedas para sus billeteras calientes. Otra entidad que entra en este mismo saco es Gemini, que también asegura tanto los depósitos en dinero fiat como en criptomoneda.
Aunque la mayoría de los intercambios de criptomonedas no ofrecen un seguro similar al de la FDIC para los depósitos, sí ofrecen otras formas únicas de seguro. Por ejemplo, consideremos el Fondo SAFU de Binance. Creado en julio de 2018, el fondo SAFU asigna el 10 % de las tarifas de negociación a una billetera que se utilizará para compensar a los usuarios en caso de casos extremos, como un hackeo. Hasta la fecha, el fondo SAFU de Binance se ha utilizado una vez cuando Binance fue hackeado por 7.000 BTC en mayo de 2019. Tras el ataque, Binance utilizó el Fondo SAFU para cubrir las pérdidas.
Mientras que el fondo SAFU protege los depósitos de los usuarios de hackeos y otras vulnerabilidades inesperadas, el fondo de seguro de BitMEX asegura a los comerciantes ganadores en caso de que las contrapartes con exceso de apalancamiento incumplan. El fondo de seguro de BitMEX es esencialmente una cuenta de Bitcoin que ha ido acumulando valor lentamente a lo largo de los años como producto de los ingresos de las liquidaciones de BitMEX. Desde la creación del fondo de seguros de BitMEX, otros intercambios han creado sus propios fondos de seguros comparables, como Binance, FTX y OkEx, entre otros. Sin embargo, la mayoría (si no todos) de estos fondos de seguro son de custodia y, por lo tanto, podrían verse comprometidos. Quizá algún día un intercambio utilice su fondo SAFU para respaldar su fondo de liquidación.
Es importante señalar que algunos protocolos descentralizados también cuentan con mecanismos de seguro para casos extremos. Por ejemplo, en el sistema Maker, si el fondo de garantías se queda sin garantías por cualquier motivo, el protocolo acuñará MKR para cubrir estas pérdidas. A corto plazo, esto diluye a los poseedores de tokens MKR, pero permite que el protocolo siga siendo solvente.
La mayoría de los protocolos DeFi y los pequeños intercambios offshore no ofrecen ningún tipo de seguro formal. Esto incluye protocolos como Synthetix y dYdX. En caso de que los fondos de los usuarios se agoten, no queda capital para que los usuarios sean compensados. En estos casos, los usuarios pueden buscar la cobertura de un tercero dispuesto a suscribir el riesgo de los contratos inteligentes. Aunque hay un puñado de servicios de este tipo (por ejemplo, Nexus Mutual y Opyn), son experimentales. Hablaremos de ellos, pero no se tendrán en cuenta en nuestras puntuaciones.
ESPECTRO DE CONFIANZA
Calificamos los seguros de la siguiente manera:
- Ningún seguro. Esto incluye prácticamente todos los proyectos DeFi y algunos intercambios.
- Seguro en algunos casos (por ejemplo, insolvencia con exceso de apalancamiento). Los intercambios con márgenes como BitMEX suelen tener un fondo de seguros para esta forma específica de riesgo.
- Alguna forma semiformal de seguro. Algunos intercambios tienen un seguro no estándar, como la póliza de 125 millones de dólares de Bakkt sobre los depósitos de BTC, y la estructuración de capital de BlockFi que coloca a los clientes en la parte superior de la pila de capital en caso de liquidación.
- Cobertura parcial (por ejemplo, FDIC). Por ejemplo, Coinbase ofrece un seguro sobre los depósitos de dinero fiat y criptomonedas hasta un límite.
- Seguro de cobertura total. Ninguna de las empresas de nuestra muestra ofrece una cobertura de seguro completa y no esperamos que esto cambie en un futuro próximo.
PUNTUACIONES DE CONFIANZA
OBSERVACIONES
En general, el mercado ofrece actualmente muy pocas opciones con seguros completos.
En el extremo superior del espectro está el seguro de depósitos. Esto varía desde los depósitos en efectivo únicamente (por ejemplo, el seguro de la FDIC) hasta el seguro completo de los depósitos en efectivo y criptomonedas. En el centro del espectro se encuentran las formas de seguro que son informales o que cubren casos extremos.
En el otro extremo, los usuarios no disponen de ningún seguro formal. Esto incluye los productos y servicios de DeFi que son nativos de los contratos inteligentes, así como algunos productos financieros de criptomonedas personalizados (por ejemplo, USDT).
Aunque DeFi no ofrezca un seguro nativo, es importante señalar que los seguros de contratos inteligentes de terceros pueden desempeñar un papel más importante a medida que el sector evoluciona. Nexus Mutual ha visto un fuerte aumento en la demanda desde su lanzamiento en 2019.
También vale la pena mencionar que, incluso si el intercambio no tiene un seguro explícito para algunas cosas, muchos intercambios han hecho esfuerzos de buena fe para remunerar a sus clientes en caso de fallas. En particular, Coinbase y Binance tienen un historial de compensar a los usuarios en caso de un mal funcionamiento del sistema (por ejemplo, una caída repentina) o un hackeo.
La mayoría de los usuarios esperan un seguro integrado en sus productos y servicios financieros tradicionales, pero el mercado de las criptomonedas aún no está lo suficientemente maduro como para que los usuarios lo den por sentado. La mayor parte de la actividad económica se desarrolla en lugares que carecen de formas fuertes y tradicionales de seguro.
El espectro de la puntuación de confianza
Un aspecto fundamental que hay que tener en cuenta al intentar sacar conclusiones de estas evaluaciones es que los distintos usuarios quieren cosas diferentes. Por eso, en lugar de intentar elaborar una única puntuación holística (por ejemplo, con un promedio simple o ponderado), nos centramos en considerar cada propiedad de forma independiente. Visualizamos el modelo de confianza de cada protocolo y empresa mediante un gráfico de radar.
Destacamos cuatro proyectos en particular: 0x (azul), BitMEX (naranja), Coinbase (amarillo) y Compound (verde). 0x ocupa una amplia zona en la parte derecha del gráfico, mientras que Coinbase ocupa una amplia zona en la parte inferior izquierda del gráfico. Compound es más similar a 0x que a Coinbase (lo que tiene sentido, ya que ambos son «DeFi») pero ocupa menos área porque Compound en su estado actual requiere más confianza que 0x. Parece que BitMEX requiere más confianza que cualquier otro producto o servicio en criptomoneda.
Además, podemos imaginar distintos usuarios que prefieren un conjunto de fortalezas de confianza sobre otro. Por ejemplo, un maximalista de la descentralización podría valorar la Custodia, la Inmutabilidad y la Seguridad verificable sobre el seguro y las Protecciones legales y reglamentarias. Prefieren utilizar protocolos como 0x en lugar de Coinbase cuando es posible. Un inversor institucional podría preferir lo contrario, dando prioridad a los Seguros, las Protecciones legales y reglamentarias y la Seguridad verificable y prefiriendo los servicios de custodia y la mutabilidad. Su producto ideal se parece más a Coinbase.
Poniendo todo junto: El ataque de bZx
El 15 de febrero de 2020, los prestamistas de bZx, una plataforma «descentralizada» para el préstamo y el comercio de márgenes, perdieron un total de 620 mil dólares cuando un atacante aprovechó una falla en el contrato inteligente de la plataforma para tomar una posición subcolateralizada y manipular los delgados libros de órdenes de intercambio descentralizado para salir con 370 mil dólares de ganancia (después de perder algunas ganancias potenciales debido al deslizamiento). Este artículo de Korantin Auguste explica la mecánica del ataque.
Aunque el protocolo bZx estaba supuestamente descentralizado, los fondos se perdieron. Era (como comercializan en su página web) «sin custodia» y sin permisos.
Consideremos cada una de las cinco propiedades. Incluimos nuestra puntuación del protocolo bZx en negrita:
- Custodia: 2 sin custodia con una clave de administrador, sin bloqueo de tiempo y seguridad operativa no verificada en torno a la clave de administrador.
- Inmutabilidad: 1 las decisiones son tomadas unilateralmente por el equipo. Aunque la plataforma tiene un token nativo que está pensado para la gobernanza, hasta ahora no se ha utilizado para regular ninguna decisión.
- Seguridad verificable: 3 la plataforma es de código abierto y había recibido auditorías por parte de un auditor independiente, pero el código base se modificó varias veces después de las auditorías, lo que podría explicar por qué todavía había un error en los contratos inteligentes. Esto destaca la importancia de la periodicidad de las auditorías.
- Protecciones legales y reglamentarias: 2 el negocio parece estar domiciliado en Estados Unidos, por lo que existe la posibilidad de que haya protecciones legales, pero no hay precedentes de ello.
- Seguro: 1 existe un fondo de seguros, pero está efectivamente vacío.
El gráfico de radar para bZx tiene el siguiente aspecto:
Primero, un poco de contexto sobre el ataque en sí. Para ejecutar el ataque de bZx, el atacante tuvo que dejar algunas garantías de wBTC en un préstamo de bZx subcolateralizado. El equipo de bZx decidió que la mejor opción era liquidar esta garantía inmediatamente y utilizarla para pagar los intereses del principio. En el momento de la post-mortem de bZx, la garantía de wBTC tenía un valor de mercado de 1.902,26 ETH, lo que significaba que se podían pagar los intereses del préstamo principal durante 202 años.
En el año 2222, habrá una pérdida de 4.698,02 ETH que tendrá que ser socializada en todo el conjunto de préstamos. Sin embargo, 202 años es tiempo más que suficiente para que el fondo de seguros de bZx crezca de forma sustancial. Para el momento en que se produzca la pérdida, el equipo de bZx espera que el fondo de seguros pueda cubrir las pérdidas en su totalidad.
Esto nos lleva a nuestra primera observación: el equipo de bZx puede minimizar las pérdidas utilizando su clave de administrador. Con la clave de administrador, pudieron detener el protocolo y liquidar las garantías necesarias para atender los pagos de intereses a los prestamistas. Si bien la clave de administración hace que el sistema no sea tan custodiado, también permitió al equipo intervenir cuando las cosas iban mal.
Lo que nos lleva a nuestra segunda observación: mientras que bZx tiene su propio fondo de seguros diseñado para cubrir los incumplimientos con exceso de apalancamiento, no tenía un seguro sobre los depósitos de los usuarios o los errores de los contratos inteligentes. Si los usuarios quieren cobertura para los errores de los contratos inteligentes, pueden recurrir a terceros proveedores de seguros como Nexus Mutual. Un puñado de usuarios lo hizo, y como había un error en el protocolo bZx, Nexus Mutual pagó a los asegurados. Esta fue la primera vez en la historia en la que un fondo de seguros descentralizado pagó a los usuarios que perdieron fondos debido a un error de contrato inteligente.
Y el punto final y más importante: mientras que bZx habría puntuado alto en seguridad verificable (transparente y al menos una auditoría de seguridad independiente), el equipo ha ejecutado miles de actualizaciones en el sistema después del hecho, destacando la importancia de la periodicidad cuando se tienen en cuenta las auditorías de seguridad.
Este episodio concluyó con pérdidas relativamente menores (alrededor de 1 millón de dólares en total), pero no es difícil imaginar cómo podrían producirse daños mayores en sistemas más grandes con más actores maliciosos.
Limitaciones y trabajo futuro
Hemos optado por presentar un marco de alto nivel y una revisión del mercado. Para lograr este objetivo, tuvimos que tomar temas complejos y llenos de matices y simplificarlos en escalas de cinco puntos. Aunque pensamos que nuestro enfoque ofrece con éxito las líneas generales del mercado, hay muchos temas que estaban fuera del alcance de nuestro análisis y que merecen atención en el futuro.
En particular, nuestro enfoque:
- Ofrece un marco para pensar en este problema, pero se queda corto a la hora de dar a los usuarios una herramienta para comparar un producto frente a otro de forma holística.
- No tiene en cuenta el «riesgo de oráculo» o el riesgo de que el oráculo en el que se basa un producto o servicio falle de alguna manera (y otros riesgos derivados de la componibilidad del protocolo).
- No tiene en cuenta la centralización en los productos regulados por los poseedores de tokens (por ejemplo, una inmutabilidad relativamente alta en teoría, pero baja en la práctica debido a la concentración de poseedores de tokens).
- Se centra solo en las auditorías de seguridad e ignora otras formas de auditoría como la financiera, la de procesos y la económica.
- Trata los aspectos legales y reglamentarios como un tema homogéneo, mientras que en la práctica tanto los legales como los reglamentarios son muy complejos individualmente con muchos matices basados en factores como la geografía.
Esperamos mejorar nuestro enfoque con el tiempo y agradecemos los comentarios.
Palabras finales
Nuestra intención con este ensayo es iniciar una conversación sobre lo que realmente significa la confianza para los usuarios de productos y servicios criptofinancieros. Está claro que una etiqueta binaria de descentralizado o centralizado es insuficiente para que un usuario entienda el grado en que sus fondos pueden estar en riesgo. La evaluación de la custodia, la inmutabilidad, la seguridad verificable, las protecciones legales y reglamentarias y los seguros ofrecen un panorama más completo. Los protocolos actuales abarcan un amplio espectro de modelos de confianza y es poco probable que los usuarios comprendan los riesgos que estos modelos suponen para sus fondos.
En lo que respecta a la custodia, descubrimos que muchos servicios que no son de custodia imponen de hecho un riesgo de custodia significativo a los usuarios debido a las claves de administrador que permiten a los operadores congelar o drenar los fondos de los usuarios. En muchos casos, este riesgo se ve mitigado por los bloqueos de tiempo y la sólida seguridad operativa verificable, pero es importante que los usuarios comprendan estos riesgos y no confíen ciegamente en los productos y servicios no custodiados.
En cuanto a la inmutabilidad, comprobamos que en la gran mayoría de los casos las reglas del sistema pueden cambiar. Así que cualquier garantía en las otras cuatro propiedades está sujeta a cambios. En la mayoría de los casos, esperamos que estos cambios beneficien a los usuarios. Pero en algunos casos, los operadores abusan de esta confianza (por ejemplo, las estafas de salida), por lo que los usuarios deben entender si las reglas del sistema pueden cambiar y cómo.
En cuanto a la seguridad verificable, descubrimos que los proyectos DeFi tienden a obtener una puntuación alta de forma natural debido a su transparencia inherente y a la mejor práctica de someterse a múltiples auditorías de seguridad independientes. Curiosamente, descubrimos que los productos financieros centralizados también obtienen una puntuación alta, ya que los intercambios se han profesionalizado significativamente en los últimos años.
En lo que respecta a los aspectos legales, hemos comprobado que los usuarios o bien tienen una protección sólida, o bien no la tienen. A no ser que el producto o servicio lo ofrezca una empresa estadounidense, europea, china, japonesa o coreana (donde tendrían protección total), los usuarios deberían asumir que no tienen protección.
Y, por último, en lo que respecta a los seguros, descubrimos una cobertura sorprendentemente escasa incluso en los mayores intercambios. Solo Coinbase ofrecía un seguro tanto para los depósitos de criptomonedas como para los de dinero fiat. Y con la excepción de los «fondos de seguros» para cubrir los incumplimientos con exceso de apalancamiento, los protocolos de DeFi no ofrecen un seguro nativo. Esto podría poner de relieve la oportunidad para los proveedores de seguros de terceros como Nexus Mutual y Opyn, pero tendremos que ver más ejemplos en la práctica para comprender la viabilidad y la utilidad de tales servicios.
En conjunto, esto nos da una visión multidimensional de la confianza y nos muestra hasta dónde debe llegar un usuario para evaluar de manera suficiente el modelo de confianza y sus riesgos. Esperamos que este marco ofrezca a los usuarios una forma de llevar a cabo esa evaluación y a los desarrolladores una forma de pensar de forma crítica sobre los diseños de sus sistemas y las oportunidades de mejora (y, de hecho, los equipos de protocolo están realizando regularmente mejoras que reducen el riesgo para los usuarios, como MakerDAO, que añade un bloqueo de tiempo, y Compound, que avanza hacia un gobierno descentralizado). Además, esperamos que el sector colabore con nosotros aportando sus comentarios y construyendo sobre este trabajo.
Nos encantaría saber de ti. Puedes ponerte en contacto con nosotros en tony@multicoin.capital y ben@multicoin.capital.
*Gracias a Calvin Liu, Nic Carter y Cyrus Younessi por sus comentarios sobre este ensayo. *
Aviso: Multicoin Capital está invertido en Bakkt, y posee tokens BTC y USDC.
Disclosure: Unless otherwise indicated, the views expressed in this post are solely those of the author(s) in their individual capacity and are not the views of Multicoin Capital Management, LLC or its affiliates (together with its affiliates, “Multicoin”). Certain information contained herein may have been obtained from third-party sources, including from portfolio companies of funds managed by Multicoin. Multicoin believes that the information provided is reliable and makes no representations about the enduring accuracy of the information or its appropriateness for a given situation. This post may contain links to third-party websites (“External Websites”). The existence of any such link does not constitute an endorsement of such websites, the content of the websites, or the operators of the websites.These links are provided solely as a convenience to you and not as an endorsement by us of the content on such External Websites. The content of such External Websites is developed and provided by others and Multicoin takes no responsibility for any content therein. Charts and graphs provided within are for informational purposes solely and should not be relied upon when making any investment decision. Any projections, estimates, forecasts, targets, prospects, and/or opinions expressed in this blog are subject to change without notice and may differ or be contrary to opinions expressed by others.
The content is provided for informational purposes only, and should not be relied upon as the basis for an investment decision, and is not, and should not be assumed to be, complete. The contents herein are not to be construed as legal, business, or tax advice. You should consult your own advisors for those matters. References to any securities or digital assets are for illustrative purposes only, and do not constitute an investment recommendation or offer to provide investment advisory services. Any investments or portfolio companies mentioned, referred to, or described are not representative of all investments in vehicles managed by Multicoin, and there can be no assurance that the investments will be profitable or that other investments made in the future will have similar characteristics or results. A list of investments made by funds managed by Multicoin is available here: https://multicoin.capital/portfolio/. Excluded from this list are investments that have not yet been announced (1) for strategic reasons (e.g., undisclosed positions in publicly traded digital assets) or (2) due to coordination with the development team or issuer on the timing and nature of public disclosure.
This blog does not constitute investment advice or an offer to sell or a solicitation of an offer to purchase any limited partner interests in any investment vehicle managed by Multicoin. An offer or solicitation of an investment in any Multicoin investment vehicle will only be made pursuant to an offering memorandum, limited partnership agreement and subscription documents, and only the information in such documents should be relied upon when making a decision to invest.
Past performance does not guarantee future results. There can be no guarantee that any Multicoin investment vehicle’s investment objectives will be achieved, and the investment results may vary substantially from year to year or even from month to month. As a result, an investor could lose all or a substantial amount of its investment. Investments or products referenced in this blog may not be suitable for you or any other party.
Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. For more important disclosures, please see the Disclosures and Terms of Use available at https://multicoin.capital/disclosures and https://multicoin.capital/terms.