Seguridad en DeFi y Web3

Información necesaria para ayudarte a mantenerte a flote en el mar de DeFi.

Nunca ingreses tu frase secreta de recuperación de 12 palabras o tus llaves privadas en una dApp. Si una dApp solicita tu frase de 12 palabras o tus claves privadas, está tratando de robar tu cripto.

¿Qué pasa cuando le permito hacer cambios a una dApp?

En DeFi, cuando das permiso a una dApp para realizar cambios o tener cierto acceso a tu cartera, puedes exponerte a un riesgo.

Cuando utilizas una dApp, no estás enviando tus fondos desde tu cartera a la dApp para poder utilizar el servicio. Más bien, estás aceptando un contrato con la dApp para que, cuando se cumplan ciertas condiciones, ésta pueda realizar determinadas acciones con tus fondos. Esto permite que los smart contracts de la dApp realicen cambios en tu cartera.
Estas condiciones y acciones se describen y están disponibles para su revisión pública en la documentación de la dApp. El diseño de los contratos inteligentes de un protocolo es integral para las dApps. Por ejemplo, la capacidad de Tulip para proporcionar automáticamente tus fondos como liquidez a los fondos que ofrecen los porcentajes de rendimiento más altos se realiza mediante smart contracts.
Interactuar con los smart contracts conlleva un posible riesgo por parte de terceras partes maliciosas, las condiciones del mercado o el diseño de los smart contracts.
Si eres nuevo en todo lo relacionado con DeFi, es posible que quieras ser consciente de algunos de estos riesgos. No hay que preocuparse. También hay estrategias que te ayudarán a navegar por el ecosistema con un poco más de seguridad.

Qadirah es una cartera software sin custodia que proporciona la interfaz para que te conectes al mundo de DeFi y dApps. Las dApps son plataformas externas a Qadirah, ¡así que asegúrate de hacer tu propia investigación antes de conectarte!

¿Cuáles son los riesgos de utilizar DeFi?

Hacks, estafas y bugs, ¡Ay no!

Algunos de los riesgos más notorios de participar en DeFi vienen de la posibilidad de que el código de un protocolo sea hackeado o explotado. El código también puede funcionar mal de diferentes maneras..

Hacks

Los hackers con mayor determinación pueden encontrar vulnerabilidades en el código de un protocolo. A veces encuentran una forma de entrar a través de un error o a través del uso de oráculos de un protocolo. Es posible que los hackers interfieran en la mecánica del protocolo para alterar su comportamiento esperado.

Aunque los protocolos DeFi no tienen la custodia de tus fondos, pueden realizar transacciones en tu nombre si se cumplen ciertas condiciones. Un hacker puede aprovecharse de esto cumpliendo artificialmente las condiciones que le permitan acceder a tus fondos.

Bugs

Dependiendo de lo consolidado que esté un protocolo y de la experiencia de sus desarrolladores, una dApp podría tener defectos incorporados que pueden comprometer su seguridad o hacer que el protocolo se comporte de forma inesperada e indeseable.

Estafas

En algunas circunstancias, los desarrolladores de un protocolo son malos actores. Algunas dApps pueden tener diseños retorcidos o funcionalidades de puerta trasera que pueden robar tu dinero después de que hayas permitido el acceso de la dApp a tu cartera.

En todos estos casos, es importante investigar cada dApp para asegurarse de que tienen un historial seguro y que son mantenidas por desarrolladores experimentados. Puedes encontrar más información en esta sección: Haz tu propia investigación.

Impermanent loss

Digamos que 1 SOL equivale a 100 dólares. Digamos también que proporcionas liquidez una relación 1-1 de 1 SOL y 100 USDC a una DEX. A cambio de tu liquidez, la DEX te proporciona 200 dólares en tokens LP.

Ahora digamos que el precio de SOL se duplica y que 1 SOL ahora equivale a 200 dólares y quieres cobrar tus tokens LP para recuperar tus activos. 

En este caso, el DEX le devolvería sólo 0,5 SOL y los 100 USDC. Esto se debe a que sólo se te dan suficientes tokens LP para recuperar la cantidad de dólares de lo que aportaste inicialmente. En este ejemplo, 200 dólares de liquidez.

Aquí es donde entra la pérdida impermanente. De haber conservado su 1 SOL en lugar de aportarlo como liquidez, habría ganado 100 dólares de valor sólo por conservarlo.

Ten en cuenta que esto sólo ocurre si decides cobrar la liquidez. Con el tiempo, el valor de SOL puede bajar de 200 dólares a 100 dólares y usted podría recuperar su 1 SOL y 100 USDC.

Recuerda también que al proporcionar liquidez el DEX te está pagando intereses en comisiones de intercambio proporcionales a tu porcentaje del fondo de liquidez. Dependiendo de la cantidad de liquidez que hayas proporcionado, y del tiempo que la hayas proporcionado, podría darte más beneficios a largo plazo.

Una buena forma de familiarizarse con la aportación de liquidez es proporcionar pares de monedas estables como USDC/USDT. Dado que sus precios son estables, la posibilidad de pérdidas impermanentes es mucho menor que si se utilizan activos más volátiles.

Riesgos inherentes al protocolo

Los riesgos inherentes al protocolo se refiere a las mecánicas de un protocolo y sus contratos inteligentes. Incluso si todo funciona como se espera, un protocolo puede producir un resultado adverso. 

Cuando interactúas con un contrato inteligente DeFi, le estás dando permiso para realizar transacciones con tus activos cuando se cumplen ciertas condiciones. Puedes encontrar más información sobre cómo funciona esto en nuestro artículo: ¿Cómo es DeFi sin custodia?.
Como ejemplo, digamos que tomas un préstamo sobre-colateralizado a través de un protocolo de préstamo como Aave. Depositas 1 ETH por valor de 2.000 dólares. Como puedes pedir prestado hasta el 50% de tu garantía, pides prestado 1.000 dólares de ETH.
Ahora digamos que el precio de ETH ha caído un solo dólar y que no has podido aportar más ETH como colateral. Tu ETH podría ser liquidado por el protocolo porque tu garantía ya no es suficiente para la cantidad que pediste prestada.
Tu colateral también podría ser liquidado si no pudieras devolver lo que pediste prestado en el momento especificado.
Este es un riesgo inherente al protocolo. Aunque estos protocolos DeFi funcionan como se espera y pueden ser grandes herramientas financieras, también conllevan riesgos si son utilizados sin la debida precaución o comprensión.

Haz siempre tu propia investigación para entender los protocolos que utilizas y las condiciones que pueden dar lugar a un resultado desfavorable.

¿Cómo puedo estar seguro usando DeFi?

Haz tu propia investigación

Antes de confiar tus fondos al salvaje oeste de Web3, un poco de investigación adicional te ayudará a mantenerte seguro y exitoso en tu viaje de DeFi. A continuación, te presentamos algunas formas diferentes de investigar una dApp que te interese utilizar.

Lee la documentación de la dApp

El código y la documentación de una dApp deben ser transparentes y abiertos al público.›

Un buen lugar para empezar a investigar una dApp es su documentación. Leer la documentación te ayudará a entender cómo funciona y qué te ofrece la dApp..

Ya que una dApp requiere tu confianza para poder usarla, una dApp con buena documentación hará un buen trabajo explicándose a ti.

Después de leer la documentación de una dApp, deberías ser capaz de responder a estas preguntas por ti mismo:

  • ¿Qué hace esta dApp?
  • ¿Cuáles son los riesgos potenciales?
  • ¿En qué condiciones puede acceder a los fondos de mi cartera?
  • ¿Tiene esta dApp una comunidad con la que pueda relacionarme?

Si no eres capaz de responder a estas preguntas después de leer la documentación de una dApp, es posible que tengas que investigar más antes de elegir usar esa dApp.If you’re unable to answer these questions after reading a dApp’s documentation, you may need to do more research before choosing to use that dApp.

Averigua si la dApp ha sido auditada

Hay varias herramientas y sitios web que auditan diferentes dApps para comprobar si hay fallos de seguridad, desarrolladores de confianza o problemas que pueda tener una dApp. Aquí hay una lista de diferentes herramientas de auditoría que pueden ser útiles al investigar una dApp:

  • DeFi Safety – Publica informes y puntuaciones de seguridad sobre proyectos DeFi.
  • Solidity Finance – Comprueba si un protocolo ha sido auditado o no.
  • Rugscreen – Identifica si un protocolo es una estafa conocida o un jalón de alfombra.
  • Coinsniper – Un recurso con más información sobre cómo protegerse de las estafas comunes de DeFi.

Las herramientas anteriores son plataformas externas no afiliadas a Qadirah. Como tal, Qadirah no puede garantizar el rendimiento de sus productos/servicios ni la precisión de los pasos mostrados e información proporcionada.

Investiga a los desarrolladores de la dApp

Los desarrolladores que revelan su identidad, (doxxed/doxxeados)  son desarrolladores responsables. Puede ayudarte en tu investigación ver si puedes encontrar los nombres de los desarrolladores de la dApp.

Los desarrolladores conocidos públicamente son una buena señal ya que pueden ser identificados y responsabilizados si algo intencionalmente malicioso ocurre con la dApp.

Investiga la comunidad de la dApp

Otro lugar en el que puedes fijarte cuando investigues una dApp son las páginas de su comunidad. Comprueba si una dApp tiene una cuenta de Twitter o una página de Discord donde puedes preguntar a los miembros de la comunidad cuál ha sido su experiencia con el uso de la dApp.

Sin embargo, si encuentras que las páginas de redes sociales de una dApp están llenas de publicaciones de spam o de actividad no relacionada con el cripto, podría ser una señal de que la comunidad está inactiva o no está moderada, lo cual indica que la dApp puede no ser confiable.

Sé precavido y mantente preparado

Una vez que hayas investigado una dApp con la que quieras interactuar, debes seguir siendo precavido. Es una buena idea invertir únicamente los fondos que estés dispuesto y preparado a perder. Aunque una dApp pueda parecer sólida y de confianza, una actualización del código o un exploit recién descubierto podría comprometer tus fondos.

También ayuda a ser escéptico con los protocolos de DeFi que prometen rendimientos superiores a los normales. Si un alto APY (tasa de rendimiento anual) suena demasiado bueno para ser verdad, probablemente lo sea. Las grandes cifras por sí solas no garantizan una buena inversión, sobre todo si no puedes saber de dónde procede el dinero.
Asegúrate siempre de tener suficiente gas a la mano para cubrir las tarifas de los contratos inteligentes de las dApps que elijas utilizar. No tener suficientes fondos para el gas podría interrumpir la actividad de tu dApp.
También es importante utilizar un navegador de dApps seguro como el de la extensión de navegador Qadirah. Los navegadores de dApps seguros a menudo se tomarán el tiempo de revisar y vetar una dApp antes de listarla para su búsqueda.

Questions? Need more assistance? Send us an email at support@qadirah.com. We promise quick human help!