Ataques con préstamos flash en protocolos DeFi: cómo funcionan y cómo evitarlos

Los préstamos flash han revolucionado las finanzas descentralizadas, pero también han abierto la puerta a uno de los ataques más destructivos en la historia de DeFi. En cuestión de segundos, un atacante puede robar millones de dólares sin poner un solo dólar de su propio dinero. ¿Cómo es posible? Todo se debe a una característica única de las blockchains: la atomicidad. Un préstamo flash no requiere garantía, pero exige que el dinero se devuelva en la misma transacción. Si falla, todo se revierte como si nunca hubiera pasado. Los atacantes usan esta regla para manipular precios, engañar contratos inteligentes y robar fondos-todo en menos de 15 segundos.

¿Qué es un préstamo flash y por qué es peligroso?

Un préstamo flash es un tipo de préstamo sin garantía que solo existe en el mundo DeFi. Fue creado por AAVE, pero ahora lo ofrecen otros protocolos como dYdX y Uniswap. La regla es simple: puedes pedir 10 millones de dólares, pero debes devolverlos, más intereses, antes de que termine la transacción. Si no lo haces, la blockchain lo anula automáticamente. No hay crédito, no hay revisión, no hay intermediarios. Solo código.

Lo que lo hace peligroso no es el préstamo en sí, sino cómo se puede usar para manipular sistemas que confían en precios de mercado. Muchos protocolos DeFi, como los prestamistas o los mercados de intercambio automatizado (AMM), usan oráculos para saber el valor de los activos. Si un oráculo solo mira el precio en un intercambio, un atacante puede inundar ese intercambio con una gran cantidad de un token, hacer que su precio suba artificialmente, y luego usar ese precio falso como prueba de valor.

Cómo funciona un ataque con préstamo flash paso a paso

Imagina que quieres robar dinero de un protocolo que te presta tokens A a cambio de garantía en tokens B. Aquí está el plan:

1. Tomar un préstamo flash de 10 millones de tokens A de un proveedor como AAVE.
2. Usar esos tokens A para comprar todos los tokens B disponibles en un intercambio descentralizado (como Uniswap). Esto hace que el precio de B suba de 1 dólar a 10 dólares en segundos.
3. Depositar esos tokens B como garantía en el protocolo de préstamo. Como el oráculo ahora dice que B vale 10 dólares, el protocolo te permite pedir 100 millones de tokens A (porque creen que tienes 10 millones de dólares en garantía).
4. Tomar los 100 millones de tokens A y usarlos para devolver los 10 millones originales del préstamo flash, más los intereses.
5. Quedarte con los 90 millones de tokens A restantes. El protocolo pierde dinero, el atacante se va con ganancias.

Todo esto ocurre en una sola transacción. No hay tiempo para reaccionar. La blockchain lo ejecuta todo como un solo bloque de código. Si no se detecta antes de que se complete, no hay forma de detenerlo.

Ataques reales que cambiaron el DeFi

Esto no es teoría. Ha pasado, y ha costado miles de millones.

En abril de 2022, un atacante usó un préstamo flash de 1.000 millones de dólares para manipular el precio del token BEAN en el protocolo Beanstalk Farms. Con el precio artificialmente inflado, el atacante tomó control de la gobernanza del protocolo y vació su tesorería. La pérdida: 182 millones de dólares.

En 2023, el ataque a PancakeBunny fue aún más audaz. Los atacantes manipularon el precio del token BUNNY en un AMM, lo usaron como garantía para pedir más tokens, y luego los vendieron en el mercado abierto. El resultado: una caída del 90% en el precio de BUNNY y 200 millones de dólares perdidos por los proveedores de liquidez.

En marzo de 2025, KiloEx perdió 7 millones de dólares en un ataque similar. El patrón era el mismo: préstamo flash → manipulación de precio → abuso de garantía → fuga de fondos. Estos no son errores aislados. Son ataques repetibles, y cada vez son más sofisticados.

¿Por qué estos ataques son tan comunes?

Hay tres razones principales:

• Accesibilidad: Cualquier persona con conocimientos técnicos y unos pocos dólares en gas puede intentarlo. No necesitas ser un hacker de élite, solo entender cómo funcionan los contratos.
• Velocidad: Todo ocurre en un bloque. Las herramientas de monitoreo tradicionales no pueden reaccionar a tiempo.
• Dependencia de oráculos frágiles: Muchos protocolos usan un solo intercambio como fuente de precios. Si ese intercambio se manipula, todo el sistema se derrumba.

La mayoría de los protocolos que han sido atacados no tenían protección contra manipulaciones de precio en un solo bloque. Confían en que los mercados son estables. Pero en DeFi, los mercados pueden ser creados y destruidos en milisegundos.

Cómo se están defendiendo los protocolos

Los desarrolladores no están sentados sin hacer nada. Han aprendido de los errores. Aquí están las mejores prácticas que ya se están implementando:

• Oráculos múltiples: En lugar de confiar en un solo intercambio, los protocolos ahora toman precios de 3, 5 o más fuentes. Si uno está manipulado, los otros actúan como contrapeso.
• Precios ponderados en el tiempo (TWAP): En lugar de usar el precio actual, usan el promedio del precio durante los últimos 5, 10 o 30 minutos. Esto hace imposible manipular el precio con una sola operación.
• Revisión de código y auditorías: Protocolos como Compound y AAVE ahora pasan sus contratos por múltiples firmas de auditoría antes de lanzarlos. Buscan errores como reentrancia, falta de controles de acceso o lógica defectuosa.
• Interruptores de circuito: Algunos protocolos ahora detienen transacciones si el precio de un activo cambia más del 20% en un bloque. No es perfecto, pero detiene muchos ataques.

El protocolo Euler Finance, por ejemplo, usó TWAP y oráculos descentralizados después de su ataque en 2022. Desde entonces, no ha sufrido otro ataque de préstamo flash.

Lo que los usuarios deben saber

Si eres proveedor de liquidez, inversionista o simplemente usas DeFi, esto te afecta. No puedes confiar en que un protocolo es seguro solo porque tiene un nombre conocido. Pregunta:

• ¿Usa múltiples oráculos o solo uno?
• ¿Implementa TWAP o usa precios en tiempo real?
• ¿Ha sido auditado por al menos dos firmas independientes?
• ¿Tiene un fondo de seguros o mecanismos de rescate?

Los protocolos que no responden a estas preguntas con claridad son riesgosos. La seguridad no es un complemento: es el núcleo.

El futuro de los préstamos flash

Los préstamos flash no van a desaparecer. Son útiles. Muchos traders legítimos los usan para arbitraje, liquidaciones y estrategias de cobertura. El problema no es la tecnología, sino la falta de seguridad en los protocolos que la usan.

El próximo paso es la inteligencia artificial. Algunos equipos están entrenando modelos para detectar patrones de ataque en tiempo real: transacciones con grandes volúmenes, movimientos de precios inusuales, o cambios bruscos en la relación de liquidez. Ya hay prototipos que pueden alertar a los administradores antes de que se complete el ataque.

Al mismo tiempo, los reguladores están empezando a mirar. La Comisión Europea y la SEC han comenzado a discutir normas mínimas de seguridad para protocolos DeFi. No se trata de prohibir los préstamos flash, sino de exigir que los protocolos que los usan tengan salvaguardas básicas.

En 2025, las pérdidas por ataques DeFi ya superaron los 1.700 millones de dólares. Más del 40% de esos robos fueron por préstamos flash. El número seguirá subiendo si los desarrolladores no priorizan la seguridad desde el primer día. No se trata de ser perfectos. Se trata de no repetir los mismos errores.

¿Qué puedes hacer tú?

Si eres desarrollador: audita tu código. Usa herramientas como Slither o MythX. Implementa TWAP. Usa oráculos descentralizados como Chainlink o Pyth. Nunca confíes en un solo precio.

Si eres usuario: no pongas dinero en protocolos que no explican cómo protegen sus precios. Revisa sus documentos de seguridad. Si no hay nada, evítalos.

Si eres inversor: entiende que el alto rendimiento en DeFi viene con alto riesgo. Los préstamos flash no son un error técnico. Son una amenaza real. Y mientras los protocolos no se fortalezcan, seguirán ocurriendo.