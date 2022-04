Los dueños del proyecto Beanstalk Farms apuntaban a crear una criptomoneda estable, que cotizara al valor del dólar. Formularon mal su código y, sin querer, dejaron que un usuario se quedara con todas sus reservas. Ahora quieren acusarlo de un delito, pero no saben de cuál. Los líderes de la iniciativa hicieron un llamado desesperado en busca de mantener a flote una compañía que va derecho a la quiebra.

Puede haber sido fraude, puede haber sido estafa, puede haber sido robo. Pero, según sus propias reglas, estaba permitido. Y así, con un esquema de enriquecimiento rápido técnicamente legal, lograron el récord catastrófico en solo 13 segundos.

Hasta hace unos días, Beanstalk era un proyecto de stablecoin que apuntaba a una criptomoneda llamada Beans que valiera siempre un dólar. ¿Cómo funciona? Es parecido a un banco: un inversor les da activos, y la entidad promete conservarlos hasta que los pidan de vuelta. Ya lo explicó The Guardian: "un banco hace un seguimiento de tus depósitos dándote un número de cuenta y un saldo; una stablecoin hace lo mismo dándote, bueno, stablecoins".

Este tipo de empresas generan confianza porque las más conocidas, como Tether y USDC, tienen grandes reservas, a tal punto que cuando iniciaron prometían respaldar uno a uno las stablecoins que se compraban. En el caso de Beanstalk apuntaba a ser como ellas, pero para llegar tenía que apelar a lo que se denomina un "Ponzi honesto": una promesa de pagar tipos de interés salvajes, financiada clara y abiertamente con nuevas entradas de capital. Y así, podrían decir que Beanstalk tenía cientos de millones de dólares en activos digitales como reservas para respaldar una stablecoin que se suponía que iba a valer permanentemente 1 dólar.

Estas stablecoins tienen un esquema que no existe en los bancos: los préstamos flash. Consisten, a grandes rasgos, en un crédito que se da y se devuelve en el momento. Sirven para obtener ganancias casi inmediatas: por ejemplo, si hay un activo digital que se puede comprar por 1 dólar y vender por 2, entonces los inversores sacan un préstamo flash de un millón de dólares, hacen la compraventa, devuelven el préstamo y se quedan con un millón de dólares de ganancia. El prestamista, explicó el medio citado, no asume ningún riesgo —porque el préstamo no puede realizarse literalmente sin ser devuelto— y cobra una pequeña comisión por la práctica.

Otra característica de las stablecoins es que el sistema incluye que los usuarios puedan votar sobre los cambios en el código —derechos de voto—, con voto ponderado: cuanto más activos se posean, más poder de voto se tiene. Un usuario sabía de los préstamos flash y de los derechos de voto. Sumó ambas cosas y armó un combo letal.

Para llevarlo a cabo pidió un préstamo flash de unos 180 millones de dólares, es decir todas las reservas de Beanstalk y con ellos compró la mayoría de los derechos de voto de la empresa. Una vez que fue dueño casi absoluto, elaboró una resolución de emergencia para cambiar el código y, así, hacer que se apruebe la transferencia de todas las reservas a su cuenta personal. La resolución se sometió a votación, y él tenía la mayoría, así que ganó. Devolvió el préstamo flash y comenzó el proceso de blanqueo de los ingresos. Todo en 13 segundos.

El atacante se quedó con 80 millones de dólares, ya que una parte de la transferencia se hizo en Ethereum y la otra en Beans, la stablecoin que valía un dólar y, después del evento, quedó en 6,5 centavos de dólar.

Esto en un banco hubiera sido imposible. Un consejo de administración no puede simplemente transferir activos corporativos a un accionista mayoritario (malversación, un delito) y un banco no puede transferir activos en su bóveda como le parezca, porque entonces no cumpliría con los requisitos de reserva (otro delito).

En el caso de Beanstalk técnicamente no tiene mucho poder de acción contra este ciberataque. Fue un robo hecho y derecho, pero el atacante actúo bajo las reglas permitidas por la empresa.