BCGAME - 5BTC مكافأة يومية مجانية!ظهر الجانب القبيح من DeFi برأسه مرة أخرى هذا الأسبوع عندما تعرض بروتوكول Binance Smart Chain PancakeBunny لهجوم كارثي على قرض فوري بقيمة 200 مليون دولار ، وخسر أكثر من 700.000 BUNNY و 114.000 BNB في هذه العملية. على الرغم من الجهود المبذولة في الصناعة ، فإن الخسارة دائمة. ولا ، على الرغم من الطلبات العديدة ، لم يتمكن حتى نيك كيج من إقناع المخترق بإعادة هذا الأرنب إلى الصندوق مرة أخرى.
وبغض النظر عن النكات ، فإن هجمات الإقراض الفوري ليست فورية. في الواقع ، لقد أصبحوا مشكلة خطيرة للغاية في مجال العملات المشفرة وعلى وجه التحديد في التمويل اللامركزي (DeFi).
في هذه المقالة ، سنلقي نظرة على ماهيتها ، وكيف تعمل ، ولماذا تكون شائعة جدًا ، وما إذا كان من الممكن إيقافها.
في هذه المقالة سوف نناقش:
ما هو الهجوم الفوري على القروض؟
تعتبر هجمات القروض الفورية نوعًا من هجمات DeFi التي يأخذ فيها لص إلكتروني قرضًا فوريًا (شكل من أشكال القرض غير المضمون) من بروتوكول قرض ويستخدمه جنبًا إلى جنب مع أنواع مختلفة من الحيل للتلاعب بالسوق لصالحه. يمكن أن تحدث هذه الهجمات في ثوانٍ معدودة ولا تزال تتضمن أربعة أو أكثر من بروتوكولات DeFi.
تعد هجمات القروض الفورية أكثر أنواع هجمات DeFi شيوعًا لأنها أرخص وأسهل في التنفيذ. لقد احتلوا عناوين الأخبار باستمرار منذ ارتفاع شعبية DeFi في عام 2020 ويبدو أنها تتزايد بشكل كبير في عام 2021 ، حيث تكبدت خسائر بمئات الملايين من الدولارات حتى الآن.
ما هي القروض السريعة؟
القروض الفورية هي نوع جديد من القروض غير المضمونة التي تفرضها العقود الذكية التي أطلقتها Aave ، أحد بروتوكولات الإقراض الرائدة في DeFi.
تقليديا ، هناك نوعان من القروض: القروض المضمونة ، والتي تتطلب ضمانات ، والقروض غير المضمونة ، والتي لا تتطلب ذلك. خير مثال على القرض غير المضمون هو عندما تقترض 2.000 دولار من أحد البنوك. بعض البنوك على استعداد لإقراض هذا المبلغ طالما أن لديك تاريخ سداد قرض جيد.
ومع ذلك ، إذا كان المبلغ الذي تنوي اقتراضه كبيرًا جدًا ، فسيكون من الخطورة جدًا بالنسبة لهم تقديم قرض غير مضمون ، حتى لو كان لديك درجة ائتمان جيدة. على سبيل المثال ، إذا كنت ترغب في اقتراض 30.000 ألف دولار ، تطلب منك البنوك عادةً تقديم ضمانات ، مثل منزلك ، وسيارتك ، وما إلى ذلك ، لتقليل المخاطر.
القروض الفورية هي في الأساس قروض ستيرويد غير مضمونة لجيل DeFi المتدهور ، ولا تتطلب أي ضمانات أو فحوصات ائتمانية أو حدًا لمقدار الاقتراض ، طالما يمكنك سداد القرض في نفس المعاملة.
تعتبر المراجحة حالة الاستخدام الأكثر شيوعًا للقروض السريعة لأنها تتيح للمتداولين الربح من فروق الأسعار عبر بورصات متعددة. على سبيل المثال، إذا LINK بقيمة 30 دولارًا أمريكيًا في البورصة A و35 دولارًا أمريكيًا في البورصة B، يمكن للمستخدم الاقتراض من خلال قرض سريع وإجراء طلب منفصل لشراء 100 رابط مقابل 3.000 دولار أمريكي في البورصة A، ثم بيعها جميعًا مقابل 3.500 دولار أمريكي في البورصة B وسداد القرض البالغ 3.000 دولار أمريكي. في هذا السيناريو، يمكن للمستخدم أن يحصل على 500 دولار مطروحًا منها الرسوم.
كيف تعمل هجمات الإقراض الفوري
تتيح القروض الفورية للمستخدم الاقتراض بقدر ما يريد بدون رأس مال. على سبيل المثال ، إذا كنت ترغب في اقتراض 70.000 دولار من ETH ، فإن بروتوكول القرض يمنحك على الفور ، لكن هذا لا يعني أنه ملكك. عليك أن تفعل شيئًا مع الأموال المقترضة لسداد القرض وربما المبلغ الزائد في الجيب.
لكي ينجح هذا، يجب أن تكون العملية سريعة ويجب سداد الدين بالبروتوكول في الوقت المحدد، وإلا سيتم إلغاء المعاملة. لا يطلب المُقرض اللامركزي ضمانات منك، حيث يتم تنفيذ اتفاقية سداد ديونك من خلال أ سلسلة كتلة . يسعى مهاجمو القروض السريعة إلى إيجاد طرق للتلاعب بالسوق مع الالتزام بقواعد blockchain.
دراسات الحالة
دعنا نستكشف سيناريوهين في العالم الحقيقي لهجمات القروض الفورية التي حدثت لتوضيح تشريح هذه الثغرات بشكل أفضل.
هجوم الأرنب
دعونا نعيد النظر في هذا الأرنب وجاذبيته القاتلة للقراصنة. وقع أحدث هجوم للقرض الفوري في مايو 2021 على PancakeBunny ، وهو مجمع إنتاج زراعي يعمل بنظام BSC ، والذي عانى من الاستغلال الذي تسبب في انخفاض رمزه بأكثر من 95٪ من قيمته السابقة.
اقترض المهاجم في البداية كمية كبيرة من BNB من خلال PancakeSwap واستخدمها للتلاعب بسعر USDT / BNB و BUNNY / BNB في حمامات PancakeBunny. سمح هذا للمتسلل بسرقة كمية كبيرة من BUNNY ، والتي أغرقها في السوق ، مما تسبب في انخفاض السعر. ثم دفع المخترق الديون من خلال PancakeSwap.
تشير البيانات إلى أن المتسلل تمكن من الإفلات من أرباح تقدر بنحو 3 ملايين دولار ، تاركًا بروتوكولًا مشوهًا في أعقابه.
استغلال ألفا هومورا
حدث أكبر اختراق للقرض الفوري لعام 2021 في فبراير الماضي ، عندما تم استنزاف بروتوكول Alpha Homora بقيمة 37 مليون دولار باستخدام Iron Bank ، منصة الإقراض الخاصة بـ Cream. تم تحقيق بروتوكول الزراعة ذات الدخل المرتفع من خلال سلسلة من القروض السريعة.
طلب المخترق مرارًا وتكرارًا sUSD من Iron Bank من خلال Alpha Homora dapp ، ضاعف المبلغ المقترض في كل مرة. وقد تم ذلك من خلال عملية مكونة من صفقتين ، حيث أعاد المتسلل الأموال إلى Iron Bank في كل مرة ، مما سمح لهم بتلقي Yearn Synth sUSD (cySUSD) في المقابل.
ثم اقترض الجاني 1,8 مليون دولار أمريكي (USDC) من Aave من خلال قرض فوري واستبدلها بـ sUSD باستخدام Curve. تم استخدام sUSD لسداد القرض الفوري وإقراض بنك الحديد ، مما سمح لهم باستمرار الاقتراض والاقتراض والحصول على مبلغ متناسب من cySUSD في كل مرة.
في الأساس ، قام المتسللون بشطف هذه العملية وتكرارها عدة مرات ، مما سمح لهم بسرقة كميات كبيرة من cyUSD الدسم الذي استخدموه بدورهم لاقتراض العملات المشفرة الأخرى من Iron Bank. لذلك ، اقترضوا 13 ألفًا من الإيثريوم المغلف (WETH) و 3,6 مليون دولار أمريكي و 5,6 مليون دولار أمريكي و 4,2 مليون دولار أمريكي.
كما ترى ، يمكن أن تكون العملية معقدة للغاية وتتطلب سلسلة من الخطوات التي يجب أن تحدث بسرعة كبيرة ، وهي شهادة على مدى استعداد هؤلاء المهاجمين للذهاب.
لماذا هجمات القروض السريعة شائعة في DeFi
القروض الفورية هي مخططات منخفضة المخاطر ومنخفضة التكلفة وعالية المكاسب ، مما يجعلها مزيجًا خطيرًا في أذهان المجرمين.
فيما يلي الأسباب الرئيسية وراء تزايد هجمات القروض الفورية.
هجمات القروض الفورية رخيصة الثمن
على عكس 51٪ من الهجمات التي تتطلب موارد ضخمة لتنفيذها ، تتطلب القروض السريعة ثلاثة أشياء فقط: جهاز كمبيوتر ، ووصلة إنترنت ، والأهم من ذلك ، براعة. يبدو أن المتسللين يحتاجون إلى التخطيط لكيفية مهاجمتهم ، لكن التنفيذ لا يستغرق سوى بضع ثوانٍ إلى بضع دقائق. لذلك لا يتطلب الكثير من الوقت للاستثمار.
هجمات القروض الفورية منخفضة المخاطر
الانخراط في أي نشاط إجرامي في خطر ، لكن تخيل سرقة أحد البنوك دون الحاجة إلى التواجد فعليًا في البنك. هذا يلخص بشكل كبير وجهة نظر مهاجمي القروض الفورية. أثبت العام ونصف العام الماضي مدى سهولة سرقة بروتوكولات DeFi.
في الواقع ، لم يتم اكتشاف أي مهاجمين على القروض الفورية حتى الآن ، على الأقل ليس مؤخرًا. وذلك لأن معظمهم لا يتركون أي أثر عندما يختفون بسبب طبيعة الشبكات غير المصرح بها والأدوات المتاحة لإخفاء الهويات مثل Tornado Cash.
كيفية منع هجمات القروض السريعة
بالنظر إلى العدد المتزايد من هجمات القروض الفورية في الوقت الحالي ، من الواضح أنه لا يوجد حل كامل ونهائي بعد. ومع ذلك ، هناك خطوات ملحوظة يمكن اتخاذها لمكافحة هذه المشكلة.
استخدم Oracles اللامركزية لبيانات الأسعار
الطريقة المثلى لتقليل متجه الهجوم لعمليات استغلال القروض السريعة هي أن تستخدم منصات DeFi أوراكل التسعير اللامركزي مثل Chainklink و Band Protocol بدلاً من الاعتماد على DEX واحد لتغذية التسعير الخاصة بهم. كان على Alpha Homora أن يتعلم هذا بالطريقة الصعبة قبل أن يقرر إصدار Alpha Oracle Aggregator في مايو الماضي.
فرض المعاملات الهامة للمرور عبر كتلتين
اقترح Dragonfly Research إجبار القروض الفورية على المرور عبر كتلتين بدلاً من كتلة واحدة. ومع ذلك ، هذا ليس حلاً كاملاً ، كما لو تم تصميمه بشكل غير صحيح ، يمكن للمستكشف ببساطة مهاجمة كلتا الكتلتين عن طريق الاقتراض الفوري. أيضًا ، يمكن أن يؤثر هذا بشكل كبير على واجهة المستخدم لبروتوكولات DeFi لأن المعاملات لن تكون متزامنة بعد الآن.
استخدام أدوات الكشف عن هجوم القرض السريع
أحد أكبر العوامل التي تسمح للمستغلين بالابتعاد عن هجمات الاقتراض الفوري هو التأخير في أوقات الاستجابة من مطوري منصة DeFi. ولا يمكننا إلقاء اللوم عليهم لأنه غالبًا ما يصعب تحديد الثغرات إلا بعد فوات الأوان.
أطلق OpenZeppelin مؤخرًا برنامجًا يسمى OpenZeppelin Defender يسمح لمديري المشاريع باكتشاف عمليات استغلال العقود الذكية والأنشطة غير العادية الأخرى ، والتي من شأنها أن تسمح لهم بالاستجابة السريعة وتحييد الهجمات. وفقًا لمدونة المدونة الخاصة بك ، تم دمج هذه الأداة بالفعل بواسطة فرق Synthetix و Yearn و Opyn.
الوجبات السريعة
هجمات القروض الفورية هي القاعدة وهي موجودة لتبقى ، على الأقل لفترة من الوقت. على الرغم من جميع الحلول المقترحة ، نحتاج إلى ملاحظة أن تقنية DeFi ليست ناضجة بما يكفي لتكون راضيًا ، حيث يتم الكشف عن نقاط ضعف جديدة كل أسبوع من قبل المتسللين قبل إصلاحها.
الطريقة الوحيدة التي يمكن للمطورين القيام بذلك هي زيادة الحلول المتوفرة لديهم اليوم ، وإذا لم يعملوا ، فسوف يتعلمون شيئًا جديدًا كلما تعرضوا للهجوم.
بالنسبة للمستخدمين ، يجب ألا نشعر بالإحباط من المشاركة في مخططات DeFi مثل Staking وزراعة الغلة وتعدين السيولة ، لأنها تقدم أيضًا فرصًا هائلة. فقط تذكر أن تقوم بمعايرة المخاطر التي تنطوي عليها بعناية بعناية وعدم إيداع الأموال التي لا يمكنك تحمل خسارتها. يدور الاستثمار حول إدارة المخاطر ولا يختلف DeFi staking.
