Revisión de Lotus Market de las funciones de estafa en el mercado Defi. Parte 1.

Con la creciente popularidad de los contratos inteligentes y las plataformas financieras descentralizadas DeFi, la esfera del blockchain es cada vez más susceptible a las estafas. Las estafas en los contratos inteligentes pueden adoptar muchas formas, desde falsas promesas de altos rendimientos hasta mecanismos de retirada ocultos.

En este artículo, veremos las principales características que se utilizan para gestionar los contratos inteligentes, como:

1. Blacklist
2. Proxy
3. Pause
4. AntiWhale
5. Mint
6. EnableTrading
7. TransferLimits

Veamos en detalle los principales peligros a los que pueden enfrentarse los usuarios al interactuar con un contrato inteligente.

Mecanismo Blacklist (lista negra)

La función Blacklist de los contratos inteligentes es un mecanismo que permite a los administradores de contratos añadir direcciones a una lista negra. El propietario de un contrato inteligente puede añadir direcciones a la lista negra denegándoles el derecho a realizar determinadas acciones, como impedirles vender tokens o llamar a determinadas funciones del contrato.

Los peligros de los contratos inteligentes con función BlackList:

Los contratos inteligentes que incluyen una función de Lista Negra conllevan ciertos riesgos y problemas tanto para el proyecto como para sus usuarios. Éstos son algunos de los peligros asociados a las funciones de lista negra:

1. Control centralizado: Las funciones de lista negra suelen proporcionar un control centralizado al propietario del contrato o a los administradores.


2. Abuso de la lista negra para prácticas desleales: Los abusadores (incluido el titular del contrato), pueden utilizar la lista negra para dirigirse a direcciones específicas. Esto puede incluir la congelación o restricción de la funcionalidad de las cuentas sin motivo justificado.


3. Falta de transparencia: La presencia de una función de lista negra, sobre todo si no está documentada, puede provocar falta de transparencia. Los usuarios pueden desconocer los criterios de la lista negra o el procedimiento de la misma.


4. Riesgos de seguridad: Si BlackList no se implanta de forma segura, existe el riesgo de que se produzcan vulnerabilidades que permitan a personas no autorizadas manipular la lista negra, lo que podría dar lugar a la congelación o transferencia no autorizada de fondos.


5. Desconfianza de los usuarios: La existencia de una función de lista negra puede minar la confianza de los usuarios, ya que sus activos pueden incluirse en una lista negra sin reglas claras.


6. Confiscación de tokens: Los atacantes pueden utilizar una lista negra para confiscar tokens o activos de determinadas direcciones sin la debida justificación. Esto puede provocar importantes pérdidas económicas.

Mecanismo Proxy

Esta función es un mecanismo que permite acceder a un contrato inteligente a través de otro contrato inteligente, llamado "contrato proxy". Esto mejora la capacidad de gestionar el contrato y actualizar su lógica sin tener que cambiar las direcciones o actualizar el propio contrato. El uso de proxies conlleva ciertos riesgos.

Los estafadores suelen utilizar esquemas en los contratos inteligentes proxy para estafar a los usuarios. Para identificar estas amenazas, debes comprender los riesgos que entrañan y tener conocimientos técnicos.

Los peligros de los contratos inteligentes proxy:

1. Actualizaciones no autorizadas: Los contratos proxy permiten al propietario actualizar el contrato subyacente. Sin embargo, si este mecanismo no se implementa de forma segura, puede dar lugar a actualizaciones no autorizadas, permitiendo a los atacantes inyectar código malicioso en el contrato.


2. Llamadas externas no verificadas: Los programadores deshonestos pueden utilizar llamadas externas a contratos no fiables sin la debida verificación. Esto puede dar lugar a vulnerabilidades, como ataques de reentrada, en los que contratos maliciosos invocan repetidamente a un contrato proxy, agotando potencialmente sus fondos.


3. Falta de transparencia: El código fuente de un contrato de gestión no suele verificarse.


4. Proyectos falsos: Los estafadores crean proyectos falsos prometiendo características atractivas, como altos rendimientos o una funcionalidad única. Pueden utilizar contratos indirectos para crear una apariencia de legitimidad mientras ocultan intenciones maliciosas.


5. Esquemas Ponzi: Los estafadores construyen esquemas Ponzi basados en contratos proxy, atrayendo a los usuarios con promesas de altos rendimientos. Estos esquemas pueden tener componentes actualizables para mantener la ilusión de verosimilitud.


6. Contratos clonados: Los estafadores clonan proyectos legítimos e introducen vulnerabilidades o cambios en el contrato clonado. Los usuarios desprevenidos pueden interactuar con dichos clones, confundiéndolos con el original.

Mecanismo Pause

Esta función es un mecanismo que permite a los propietarios del contrato suspender (apagar) y reactivar (encender) temporalmente determinadas funciones o características del contrato (como el comercio, las transferencias de fichas, etc.). Esto puede utilizarse para gestionar el estado del contrato en determinadas situaciones o en respuesta a las condiciones cambiantes del mercado, pero esta herramienta en manos de estafadores puede suponer una amenaza real para los inversores.

Los peligros de los contratos inteligentes con función Pause:

1. Pausa no autorizada: Los defraudadores pueden hacerse con el control de la función Pausa y detener la ejecución de un contrato sin la debida autorización, lo que podría provocar la interrupción del negocio o pérdidas económicas.


2. Retrasos Engañosos (Deceptive Delays): Los contratos maliciosos pueden suspender transacciones críticas, como retiradas o transferencias, bajo el pretexto de mantenimiento temporal o medidas de seguridad, mientras pretenden negar a los usuarios el acceso a sus activos.


3. Afirmaciones falsas de emergencias: Los estafadores pueden alegar falsamente emergencias o vulnerabilidades para justificar una pausa del contrato y luego explotar los fondos de los usuarios durante la pausa.


4. Pretexto de seguridad (Security Pretext): Los contratos maliciosos pueden afirmar que se ha descubierto una vulnerabilidad de seguridad, lo que provoca que se active la función de suspensión. En realidad, los estafadores pueden intentar aprovecharse de la situación.


5. Tramas de fuerza mayor (Emergency Schemes): Los estafadores pueden utilizar un lenguaje o escenarios que induzcan al miedo, como alegar un "intento de robo" o una "emergencia" para justificar una pausa durante la cual pueden cometer actos ilegales.

Mecanismo AntiWhale

Esta función se utiliza para imponer límites a las ventas de fichas, con el fin de evitar retiradas masivas o manipulaciones conocidas como "oleadas", es decir, grandes volúmenes de transacciones de participantes individuales que pueden afectar al precio de las fichas y a la liquidez del mercado. Se pueden establecer límites en el número de fichas de una sola transacción o en el número total de fichas que se pueden vender en un periodo de tiempo determinado.

El objetivo principal del mecanismo AntiWhale es reducir el impacto de las grandes transacciones procedentes de una única dirección o de un pequeño grupo de direcciones, a menudo denominadas "ballenas". Pretende evitar la concentración excesiva de tokens en las mismas manos y combatir la posible manipulación o desestabilización del mercado.

Los mecanismos AntiWhale suelen establecer límites al tamaño o valor de las transacciones individuales. Las transacciones que superan un umbral establecido dan lugar a la imposición de restricciones, como la negativa a ejecutar la transacción, comisiones elevadas u otros mecanismos de redistribución.

Riesgos potenciales para los poseedores de fichas:

1. Establecer límites de AntiWhale demasiado estrictos puede ser un problema para los usuarios que necesitan realizar grandes transacciones.


2. Confiar demasiado en el mecanismo AntiWhale puede fomentar inadvertidamente la centralización si se aplica sin tener en cuenta el ecosistema más amplio.

Mecanismo CoolDown

El mecanismo Cooldown está diseñado para imponer límites de tiempo entre transacciones consecutivas desde la misma dirección. Su finalidad es regular la frecuencia de las transacciones y evitar una actividad excesiva de compra o venta en intervalos cortos de tiempo.

Cooldown establecen periodos de espera entre transacciones, a menudo basados en el tiempo transcurrido desde la última transacción desde una dirección concreta. Los usuarios deben esperar a que expire el periodo de enfriamiento antes de iniciar una nueva transacción.

Utilización del mecanismo Cooldown:

Los estafadores pueden utilizar el mecanismo Cooldown para estafar a los usuarios ideando estrategias que exploten las limitaciones. Veamos los principales riesgos que plantea CoolDown a los inversores.

1. Impacto en la liquidez: CoolDown puede afectar a la liquidez de las bolsas descentralizadas al reducir la frecuencia de las transacciones. Esto podría provocar un aumento de los diferenciales entre oferta y demanda y afectar potencialmente al estado general de la negociación.


2. Consecuencias imprevistas: Para evitar consecuencias imprevistas, los límites CoolDown deben calibrarse cuidadosamente. Por ejemplo, los límites demasiado cortos pueden impedir la manipulación de forma ineficaz, y los límites demasiado largos pueden impedir la actividad comercial legítima.


3. Períodos de oferta inicial de tokens ICOs o de venta de tokens: Durante los períodos de oferta inicial de tokens (ICOs) o de venta de tokens, se pueden imponer restricciones para evitar que grandes participantes realicen múltiples transacciones consecutivas.


4. Listas blancas de direcciones o niveles de acceso: CoolDown puede utilizarse junto con listas blancas de direcciones (WhiteList) o sistemas de derechos por niveles. Por ejemplo, los usuarios de nivel superior pueden tener periodos de espera más cortos que los demás.

Principales diferencias entre las funciones AntiWhale y CoolDown

Parámetros	AntiWhale	Cooldown
Parámetros: Influencia	AntiWhale: Afecta principalmente a los usuarios con grandes volúmenes de transacciones.	Cooldown: Se aplica a todos los usuarios, independientemente del tamaño de la transacción.
Parámetros: Dinámica del mercado	AntiWhale: Centrado en resolver problemas de concentración.	Cooldown: Destinado a regular la frecuencia de las transacciones.
Parámetros: Objetivos del proyecto	AntiWhale: El objetivo es distribuir fichas y garantizar la estabilidad del mercado.	Cooldown: Su objetivo principal es garantizar la estabilidad del mercado e impedir la negociación rápida.

Recuerda que los estafadores mejoran constantemente sus tácticas, por lo que es importante mantenerse informado y actuar con cautela: son estrategias esenciales para proteger tu inversión en tokens. Si encuentras algo sospechoso o tienes alguna duda, no dudes en ponerte en contacto con nosotros para pedir ayuda o consultar a expertos en la materia.

Mecanismo Mint

La función Mint se utiliza normalmente para crear fichas adicionales en el sistema. Esto significa que los titulares de contratos pueden "imprimir" (o "acuñar") nuevos tokens, aumentando el número total de tokens en circulación. De este modo se crea inflación y se devalúan los activos de los titulares de los tokens. Esta característica se utiliza a menudo en los tokens creados bajo el estándar ERC-20 u otros estándares similares.

Los peligros de los contratos inteligentes con funciones Mint

1. Minería no autorizada: Los estafadores pueden crear un número ilimitado de fichas, diluyendo el valor de las fichas existentes y provocando inflación.


2. Manipulación de la oferta: Los estafadores pueden manipular la oferta de fichas para engañar a los inversores o dar la impresión de que un proyecto es más valioso de lo que realmente es.


3. Escasez falsa: Estos proyectos pueden prometer escasez, pero después de la oferta pública inicial recurren a la acuñación, diluyendo el valor de los tokens y defraudando a los inversores que se sintieron atraídos por la escasez.


4. Recompensas inflacionistas: Los proyectos pueden afirmar que ofrecen recompensas de robos (staking) o dividendos (yield farming), pero acuñan fichas adicionales como "recompensas", devaluando las participaciones de los participantes.


5. Emisión repentina: Los defraudadores pueden emitir tokens repentinamente sin la debida divulgación o gobernanza, provocando el pánico y la pérdida de valor de los poseedores de tokens.

Mecanismo EnableTrading

Este mecanismo se utiliza para controlar la capacidad de comerciar con fichas. Cuando está activado, los usuarios pueden comprar y vender fichas en el mercado. Cuando está desactivado, la capacidad de comerciar está limitada. A menudo, este mecanismo se utiliza para combatir a los bots francotiradores, lo cual es bien merecido. Sin embargo, los estafadores también pueden utilizar el mecanismo Habilitar comercio para manipular las comisiones (Fee) y bloquear automáticamente a los usuarios (Blacklist).

Los peligros de los contratos inteligentes con función EnableTrading:

1. Activación de operaciones no autorizadas: Los estafadores pueden manipular la función EnableTrading para permitir operaciones o transferencias (Transfer) sin la debida autorización. Esto puede dar lugar a operaciones no autorizadas o transferencias fraudulentas.


2. Reivindicaciones de activación falsas (False Activation Claims): Los contratos maliciosos pueden afirmar falsamente que se cumplen ciertas condiciones para activar una operación. En realidad, las condiciones pueden no cumplirse, dando lugar a operaciones o transferencias fraudulentas.


3. Activación retardada (Delayed Activation): Los contratos maliciosos pueden permitir que se active la negociación, pero con retrasos significativos, haciendo creer a los usuarios que la función de negociación está temporalmente desactivada.

Mecanismo TransferLimits

El uso de Transfer Limitis permite establecer límites a la negociación/transferencia de fichas (tranfer) a discreción de los propietarios del contrato. Los estafadores pueden utilizar este mecanismo para un escenario en el que un usuario pueda comprar un número ilimitado de tokens, pero sólo pueda vender una pequeña parte de ellos (y no siempre y con retrasos). Por lo tanto, es muy importante comprender la estructura de Transfer Limits caso por caso.

Los peligros de los contratos inteligentes con función TrasferLimits:

1. Los contratos inteligentes con límites de transferencia suelen imponer restricciones al número de tokens que se pueden transferir en un tiempo determinado o bajo ciertas condiciones. Aunque estas características pueden servir a fines legítimos, como evitar el dumping de tokens a gran escala o controlar el ritmo de transferencia, también conllevan riesgos potenciales.


2. El principal peligro de un esquema de este tipo es que se atrae a los inversores para que compren tokens, pero la venta puede estar muy limitada en el número de tokens o ser muy poco rentable debido a las elevadas comisiones.

Para evitar que te estafen al elegir fichas, sigue las siguientes reglas:

1. Analiza detenidamente el código.
   El primer paso y el más importante para identificar las amenazas es un análisis detallado del código del contrato inteligente. Es necesario escudriñar el código en busca de elementos sospechosos, ocultos y potencialmente peligrosos. Esto incluye comprobar la lógica del contrato, calcular los flujos financieros e identificar posibles puntos de vulnerabilidad.


2. Explora las auditorías independientes
   Busca contratos inteligentes que hayan sido auditados de forma independiente por empresas de contabilidad acreditadas. Los auditores profesionales pueden identificar posibles amenazas y riesgos.


3. Comprueba la documentación
   Revisa la documentación y los comentarios del contrato en busca de referencias a las funciones descritas anteriormente. La documentación debe proporcionar una descripción clara y detallada de las funciones que se van a utilizar.


4. Comprueba la transparencia del código
   Asegúrate de que el código del contrato inteligente está abierto a todos los usuarios. Los desarrolladores deben proporcionar detalles sobre su proyecto, incluido el código, las auditorías y la información de contacto.


5. Sigue las reacciones de las comunidades
   Comprueba los foros de la comunidad, las redes sociales o los canales oficiales en busca de debates sobre la presencia y el uso de funciones sospechosas. Los usuarios pueden aportar ideas y preocupaciones valiosas.


6. Supervisar la actividad del proyecto
   Supervisa regularmente la actividad de los contratos en la blockchain. Los cambios inusuales o inesperados en los patrones de transferencia de fondos o el levantamiento de las restricciones a las transferencias de fondos sin una explicación adecuada pueden indicar una amenaza potencial.


7. Presta atención a la reputación del proyecto
   Investiga la reputación del proyecto y de su equipo de desarrollo. Los proyectos con un historial de transparencia, comunicación regular con la comunidad y compromiso con la seguridad tienden a ser más fiables.


8. Mantente al día
   Mantente al día de las últimas novedades de nuestra comunidad (canal de Telegram) y de las mejores prácticas para la detección del fraude (nuestro Blog y canal de YouTube).

Conclusiones

Hemos examinado las principales características que se utilizan en los contratos inteligentes. Cada característica es una poderosa herramienta para gestionar contratos inteligentes, por lo que a menudo implica ciertos riesgos para los usuarios.

Para comprender las posibles vulnerabilidades de cada contrato inteligente concreto, se requieren conocimientos de programación y auditoría deFi. El estudio del código, la auditoría pormenorizada, el análisis detallado de cada función y la supervisión periódica de nuevas tramas de fraude ayudarán a comprender si merece la pena interactuar con un contrato inteligente.

¡Recuerda que la seguridad es tu prioridad!

Si tienes dudas sobre la seguridad de un contrato inteligente, siempre puedes utilizar nuestra plataforma Lotus Market.
Lotus Market es un equipo de desarrolladores experimentados y auditores profesionales de DeFi.

Regístrate para obtener una suscripción Premium y accede a filtros exclusivos sobre las características de los contratos inteligentes y nuevos análisis. ¡Aumenta tus posibilidades de invertir con éxito en tokens rentables!

All posts