Una transacción en Uniswap enciende alarmas: ¿hackeo o lavado de dinero?

Una transacción realizada en el protocolo V3 de Uniswap, el popular exchange descentralizado (DEX) basado en Ethereum (ETH), ha levantado sospechas en la comunidad. En ella, un usuario intentó intercambiar aproximadamente 221.000 dólares en USDC, una stablecoin vinculada al dólar, por el equivalente en USDT, otra moneda estable.  

Sin embargo, el resultado de esa operación fue una pérdida de aproximadamente 216.000 dólares, lo que llevó a Michael Nadeau, fundador de The DeFi Report, un sitio de análisis on-chain de finanzas descentralizadas ( DeFi ), a publicar un análisis preliminar en la red social X. 

En principio se creyó que fue un ataque informático 

Inicialmente, Nadeau sugirió que el usuario había sido víctima de un ataque informático conocido como « ataque sandwich «. Según explicó, un bot diseñado para aprovechar el valor extraíble por mineros ( MEV , por sus siglas en inglés) manipuló la transacción al adelantarse a ella y retirar toda la liquidez de USDC del pool de Uniswap , para luego devolverla tras ejecutarse el intercambio.  

Un bot MEV es una herramienta programada para identificar y explotar oportunidades de ganancia en las transacciones pendientes antes de que se confirmen en la red, un fenómeno que surge de la forma en que los mineros o validadores priorizan las operaciones según las tarifas ofrecidas. 

Ese mecanismo habría dejado al usuario con una pérdida significativa en un pool que, en teoría, contaba con más de 35 millones de dólares en liquidez entre USDC y USDT , de acuerdo con las estimaciones de The DeFi Report. 

Un «ataque sandwich» ocurre cuando un actor, generalmente un bot automatizado, detecta una transacción pendiente en la red y la manipula a su favor. Primero, realiza una operación justo antes ( front-running ) para alterar las condiciones del pool, como el precio de los activos, y, luego, ejecuta otra operación inmediatamente después (back-running) para beneficiarse del cambio, dejando al usuario original con un resultado desfavorable.  

Cuando el usuario intentó cambiar sus 221.000 USDC por USDT, el precio habría estado tan alterado por el atacante que recibió solo una fracción de lo esperado (unos 5.000 USDT), perdiendo 216.000 dólares. Inmediatamente después, el hacker habría devuelto la liquidez al pool (vendiendo USDT por USDC), aprovechando el desequilibrio que creó y obteniendo una ganancia al restaurar el precio a su estado normal. 

De acuerdo con los datos de Nadeau, el atacante pagó 200.000 dólares al constructor de bloques (en este caso, identificado como («bobTheBuilder») para asegurarse de que estas tres transacciones (la suya inicial, la del usuario y la suya final) se ejecutaran en el orden exacto y en el mismo bloque. Sin este soborno, otro validador podría haber procesado las transacciones de forma diferente, impidiendo el ataque. 

Así, según la publicación del investigador, el atacante habría obtenido una ganancia de 8.000 dólares producto de sus propias transacciones (front-running y back-running), después de manipular el pool. No es dinero que «le quitó» directamente al usuario en un sentido físico, sino el resultado de comprar y vender estratégicamente en el pool a precios alterados. 

Una segunda presunción: el lavado de dinero a través de criptomonedas 

Sin embargo, el análisis de Nadeau no se quedó en la hipótesis del ataque informático. Tras revisar los detalles, planteó una posibilidad alternativa, aunque no profundizó en detalles:  

“Parece que esto podría ser lavado de dinero. Pero lo que no tiene sentido es que el atacante (o lavador de dinero) pagó 200.000 dólares como soborno para incluir la transacción. ¿Por qué hacer eso en lugar de usar un mezclador?”.  

Michael Nadeau, fundador de The DeFi Report. 

El lavado de dinero en criptomonedas implica, entre otras prácticas, ocultar el origen de fondos ilícitos. Para concretar esa tarea, quienes la efectúan, emplean mezcladores ( mixers ), que son servicios que combinan transacciones de múltiples usuarios para dificultar su rastreo.  

La pregunta de Nadeau apunta a la incoherencia de pagar del propio bolsillo del atacante una suma tan alta (200.000 dólares) a un constructor de bloques («bobTheBuilder») para priorizar la transacción cuando un mezclador sería «una opción más discreta y económica».

Nadeau expone la idea de que el propósito de la transacción podría no haber sido una ganancia económica directa (como en un ataque típico), sino ocultar el origen de los fondos.  

La versión de Uniswap: un error de configuración 

A esta discusión se sumó un miembro del equipo del DEX Uniswap, quien en X se hace llamar “Nikokampouris”. En una publicación en esa red social explicó que esto «no se hizo en la interfaz de Uniswap (que tiene configuraciones de deslizamiento sugeridas); se realizó a través del antiguo enrutador de intercambio V3 (no el Universal Router); parece que establecieron el deslizamiento en 100% para esta operación». Sus palabras apuntan a que el incidente no ocurrió dentro de los parámetros habituales de la plataforma oficial, lo que cambia la narrativa. 

La interfaz de Uniswap incluye protecciones predeterminadas contra el deslizamiento ( slippage ), un término que refiere a la diferencia entre el precio esperado de un intercambio y el precio real al ejecutarse, algo que puede variar por movimientos en el pool o manipulaciones externas.  

Esas configuraciones apuntan a minimizar pérdidas en escenarios como los ataques tipo sándwich. Sin embargo, el usuario que intercambió los USDC por USDT no usó esa interfaz, sino el antiguo enrutador de intercambio V3, un contrato inteligente que permite operaciones directas, pero sin las salvaguardas de la interfaz actual (siguiente imagen).

Además, según el miembro del DEX, el deslizamiento se fijó en 100%, lo que significa que el usuario permitió que la transacción se completara sin importar cuán desfavorable fuera el precio final. En la práctica, esto equivale a renunciar a cualquier protección contra manipulaciones o fluctuaciones extremas. 

El Universal Router, mencionado por Nikokampouris, es una versión más reciente y optimizada de los contratos de Uniswap, diseñada para mejorar la experiencia y seguridad del usuario. Que la transacción haya usado una versión anterior sugiere un descuido o una decisión deliberada por parte del operador.  

La combinación de estos factores (una ejecución fuera de la interfaz actual y una tolerancia de deslizamiento máxima) podría explicar la pérdida sin necesidad de atribuirla únicamente a un ataque o a lavado de dinero. 

De modo tal que, el análisis de Nadeau y las conjeturas de Nikokampouris reflejan tanto la sofisticación de las finanzas descentralizadas como las dificultades para interpretar eventos en la red. Su primera hipótesis, la del ataque sandwich, es plausible dado el historial de este tipo de exploits en Uniswap y otros DEX, mientras que desde Uniswap aluden a un descuido del usuario que realizó la transacción.