Los dos mayores exploits DeFi de los últimos dos meses tienen una cosa en común. Utilizaron una herramienta que no existe en el XRP Ledger.
Thorchain perdió aproximadamente $10.8 millones el 15 de mayo debido a un ataque entre cadenas que drenó fondos a través de Bitcoin, Ethereum, BSC y Base. Drift Protocol, un intercambio descentralizado de perpétuos basado en Solana, y KelpDAO, un protocolo de restaking líquido en Ethereum, juntos representaron más de $600 millones en pérdidas solo en abril.
Los puentes entre cadenas han perdido más de $2.8 mil millones en ataques desde 2021, según Chainalysis. Una parte significativa de estas explotaciones utilizó alguna variante del mismo mecanismo: préstamos flash.
Un flash loan es una función de contrato inteligente que permite a un operador tomar prestados millones de dólares sin garantía, bajo la condición de que el préstamo se reembolse dentro de la misma transacción. Los casos de uso legítimos incluyen arbitraje entre exchanges, intercambios de garantía sin deshacer posiciones y bots de liquidación que mantienen la solvencia en los mercados de préstamos.
El patrón de ataque es la misma mecánica apuntada en la dirección equivocada.
Un prestatario obtiene el préstamo, utiliza los fondos para manipular un oracle o agotar un pool mal diseñado, obtiene ganancias de la manipulación y devuelve el préstamo, todo antes de que se resuelva la transacción. Si algún paso falla, toda la secuencia se revierte, por lo que el atacante solo arriesga comisiones de gas.
El XRP Ledger no permite que esto funcione. Un proyecto de enmienda presentado en el repositorio de estándares de XRPL a principios de esta semana, que propone liquidez concentrada y piscinas de estilo StableSwap para el market maker automatizado nativo de la cadena, incluyó una sola línea en su sección de Consideraciones de Seguridad: "Los ataques de flash loan son estructuralmente imposibles. Las transacciones de XRPL son atómicas sin llamadas componibles intra-transacción."
Lo que significa es que las transacciones de XRPL o tienen éxito completamente o fallan completamente, como una transacción de Ethereum. Pero a diferencia de Ethereum, una transacción de XRPL no puede llamar a otro contrato durante su ejecución. La secuencia tomar prestado-manipular-devolver que define un ataque de flash loan requiere al menos tres operaciones anidadas dentro de un solo envoltorio de transacción.
Esa es una elección arquitectónica significativa, y tiene un costo. Los préstamos flash no son solo una herramienta de ataque. Se han convertido en un componente estructural del DeFi de Ethereum, con Aave, dYdX y otros protocolos principales que los ofrecen como un producto. Los traders de arbitraje utilizan préstamos flash para eliminar diferencias de precio entre exchanges en una sola acción atómica.
Los bots de liquidación los utilizan para mantener solventes las posiciones de préstamo sobrecolateralizado. Los usuarios avanzados de DeFi los usan para intercambios de garantía que de otro modo requerirían capital que se quedaría bloqueado durante horas. XRPL renuncia a todo eso a cambio de cerrar por completo la clase de ataque.
Durante la mayor parte de la historia de XRPL, el compromiso no era relevante porque la huella DeFi de la cadena era pequeña. Eso está cambiando. Los activos del mundo real tokenizados en el XRP Ledger han superado los 3 mil millones de dólares en valor total, incluyendo el piloto del mes pasado de Ripple, JPMorgan, Mastercard y Ondo Finance que procesó una redención de un Tesoro de EE.UU. tokenizado en menos de cinco segundos.
La enmienda propuesta al AMM, si se aprueba, cerraría la brecha de eficiencia de capital que ha mantenido al DeFi de XRPL por detrás de Ethereum, abriendo la cadena a un conjunto más amplio de estrategias de comercio y rendimiento.
Si se aprueba la enmienda del AMM y la liquidez DeFi de XRPL crece hasta alcanzar un nivel al que el capital institucional pueda asignar a gran escala, la pregunta pasa a ser si la resistencia estructural a explotaciones es una ventaja competitiva real o simplemente una característica que las instituciones ignoran en favor de dónde ya existe liquidez.