BCGAME - मुफ़्त 5BTC दैनिक बोनस!डेफी के बदसूरत पक्ष ने इस हफ्ते एक बार फिर से अपना सिर पीछे कर लिया जब बिनेंस स्मार्ट चेन पैनकेकबनी प्रोटोकॉल को $ 200M तत्काल ऋण भेद्यता हमले का सामना करना पड़ा, इस प्रक्रिया में 700.000 से अधिक बन्नी और 114.000 बीएनबी टोकन खो गए। उद्योग के सर्वोत्तम प्रयासों के बावजूद, नुकसान स्थायी है। और नहीं, कई अनुरोधों के बावजूद, निक केज भी हैकर को इस बनी को बॉक्स में वापस लाने में सक्षम नहीं था।
चुटकुले एक तरफ, हालांकि, तत्काल उधार हमले तात्कालिक नहीं हैं। वास्तव में, वे क्रिप्टोक्यूरेंसी स्पेस में और विशेष रूप से विकेंद्रीकृत वित्त (DeFi) में एक बहुत ही गंभीर समस्या बन रहे हैं।
इस लेख में, हम देखेंगे कि वे क्या हैं, वे कैसे काम करते हैं, वे इतने सामान्य क्यों हैं, और यदि उन्हें रोका जा सकता है।
इस लेख में हम चर्चा करेंगे:
ऋण पर तत्काल हमला क्या है?
तत्काल ऋण हमले एक प्रकार का डेफी हमला है जिसमें एक साइबर चोर एक ऋण प्रोटोकॉल से तत्काल ऋण (असुरक्षित ऋण का एक रूप) लेता है और बाजार में अपने पक्ष में हेरफेर करने के लिए विभिन्न प्रकार की चालों के साथ इसका उपयोग करता है। ये हमले केवल कुछ सेकंड में हो सकते हैं और इसमें अभी भी चार या अधिक डेफी प्रोटोकॉल शामिल हैं।
तत्काल ऋण हमले सबसे आम प्रकार के डेफी हमले हैं क्योंकि वे सबसे सस्ते और निष्पादित करने में आसान हैं। 2020 में डेफी की लोकप्रियता में वृद्धि के बाद से वे लगातार सुर्खियां बटोर रहे हैं और 2021 में बेतहाशा बढ़ रहे हैं, जिससे अब तक कई सौ मिलियन डॉलर का नुकसान हुआ है।
फ्लैश लोन क्या हैं?
तत्काल ऋण एक नए प्रकार का असुरक्षित ऋण है, जिसे Aave द्वारा शुरू किए गए स्मार्ट अनुबंधों द्वारा लागू किया जाता है, जो DeFi में अग्रणी ऋण देने वाले प्रोटोकॉल में से एक है।
परंपरागत रूप से, दो प्रकार के ऋण होते हैं: सुरक्षित ऋण, जिसके लिए संपार्श्विक की आवश्यकता होती है, और असुरक्षित ऋण, जो नहीं। असुरक्षित ऋण का एक अच्छा उदाहरण है जब आप किसी बैंक से $2.000 उधार लेते हैं। कुछ बैंक इस राशि को तब तक उधार देने को तैयार हैं जब तक आपके पास एक अच्छा ऋण चुकौती इतिहास है।
हालांकि, यदि आप जिस राशि को उधार लेने का इरादा रखते हैं, वह बहुत बड़ी है, तो उनके लिए असुरक्षित ऋण की पेशकश करना बहुत जोखिम भरा होगा, भले ही आपका क्रेडिट स्कोर अच्छा हो। उदाहरण के लिए, यदि आप 30.000 डॉलर उधार लेना चाहते हैं, तो बैंकों को आमतौर पर आपके जोखिम को कम करने के लिए आपको संपार्श्विक प्रदान करने की आवश्यकता होती है, जैसे कि आपका घर, वाहन, आदि।
जब तक आप उसी लेन-देन में ऋण का भुगतान कर सकते हैं, तब तक तत्काल ऋण अनिवार्य रूप से डेफी डिजन पीढ़ी के लिए असुरक्षित स्टेरॉयड ऋण हैं, जिसके लिए किसी संपार्श्विक, क्रेडिट जांच, और न ही आप कितना उधार ले सकते हैं, इसकी कोई सीमा नहीं है।
आर्बिट्रेज फ्लैश ऋण का सबसे लोकप्रिय उपयोग मामला है क्योंकि यह व्यापारियों को कई एक्सचेंजों में मूल्य अंतर से कमाई करने की अनुमति देता है। उदाहरण के लिए, यदि LINK एक्सचेंज ए पर $30 और एक्सचेंज बी पर $35 है, एक उपयोगकर्ता त्वरित ऋण के माध्यम से उधार ले सकता है और एक्सचेंज ए पर $100 के लिए 3.000 लिंक खरीदने के लिए एक अलग ऑर्डर कर सकता है, फिर उन सभी को एक्सचेंज बी पर $3.500 में बेच सकता है और $3.000 ऋण का भुगतान कर सकता है। इस परिदृश्य में, उपयोगकर्ता शुल्क घटाकर $500 पा सकता है।
तत्काल उधार हमले कैसे काम करते हैं
तत्काल ऋण उपयोगकर्ता को शून्य पूंजी के साथ जितना चाहें उतना उधार लेने की अनुमति देता है। उदाहरण के लिए, यदि आप ETH में $70.000 का उधार लेना चाहते हैं, तो एक ऋण प्रोटोकॉल तुरंत आपको देता है, लेकिन इसका मतलब यह नहीं है कि यह आपका है। आपको ऋण चुकाने के लिए उधार ली गई धनराशि के साथ कुछ करने की आवश्यकता है और शायद अतिरिक्त राशि को जेब में रखें।
इसे काम करने के लिए, प्रक्रिया त्वरित होनी चाहिए और समय पर प्रोटोकॉल के साथ ऋण का भुगतान किया जाना चाहिए, अन्यथा लेनदेन उलट जाएगा। एक विकेन्द्रीकृत ऋणदाता को आपसे संपार्श्विक की आवश्यकता नहीं होती है, क्योंकि आपके ऋण का भुगतान करने का समझौता किसके द्वारा निष्पादित किया जाता है blockchain . फ्लैश लोन हमलावर ब्लॉकचेन के नियमों का अनुपालन करते हुए बाजार में हेरफेर करने के तरीके ढूंढना चाहते हैं।
मामले का अध्ययन
आइए तत्काल ऋण हमलों के दो वास्तविक-विश्व परिदृश्यों का पता लगाएं, जो इन कारनामों की शारीरिक रचना को बेहतर ढंग से चित्रित करने के लिए हुए हैं।
पैनकेकबनी हमला
आइए इस खरगोश और हैकर्स के प्रति इसके घातक आकर्षण को फिर से देखें। मई 2021 में सबसे हालिया तत्काल ऋण हमला, बीएससी-संचालित कृषि उत्पादन एग्रीगेटर, पैनकेकबनी पर हुआ, जिसने एक शोषण का सामना किया, जिसके कारण इसके टोकन अपने पिछले मूल्य के 95% से अधिक गिर गए।
हमलावर ने शुरू में पैनकेकस्वैप के माध्यम से बड़ी मात्रा में बीएनबी उधार लिया और इसका इस्तेमाल कीमतों में हेरफेर करने के लिए किया USDT / बीएनबी और बनी / बीएनबी पैनकेक बनी पूल में। इसने हैकर को बड़ी मात्रा में बनी की चोरी करने की अनुमति दी, जिसे उसने बाजार में फेंक दिया, जिससे कीमत गिर गई। इसके बाद हैकर ने पैनकेकस्वैप के जरिए कर्ज का भुगतान किया।
डेटा से पता चलता है कि हैकर मुनाफे में लगभग $ 3 मिलियन के साथ भागने में कामयाब रहा, उसके मद्देनजर एक कलंकित प्रोटोकॉल छोड़ दिया।
अल्फा होमोरा शोषण
2021 का सबसे बड़ा तत्काल ऋण हैक पिछले फरवरी में हुआ, जब अल्फा होमोरा प्रोटोकॉल को आयरन बैंक, क्रीम के ऋण देने वाले प्लेटफॉर्म का उपयोग करके $ 37 मिलियन निकाला गया था। लीवरेज्ड-आय कृषि प्रोटोकॉल त्वरित ऋणों की एक श्रृंखला द्वारा प्राप्त किया गया था।
हैकर ने बार-बार आयरन बैंक से अल्फा होमोरा डैप के माध्यम से एसयूएसडी का अनुरोध किया, हर बार उधार ली गई राशि को दोगुना कर दिया। यह दो-लेनदेन प्रक्रिया में किया गया था जिसमें हैकर ने हर बार आयरन बैंक को धन वापस उधार दिया, जिससे उन्हें बदले में ईयर सिंथ एसयूएसडी (सीआईएसयूएसडी) प्राप्त करने की अनुमति मिली।
अपराधी ने तब तत्काल ऋण के माध्यम से एव से 1,8 मिलियन अमरीकी डालर के सिक्के (यूएसडीसी) उधार लिए और कर्व का उपयोग करके एसयूएसडी के लिए उनका आदान-प्रदान किया। एसयूएसडी का इस्तेमाल तत्काल ऋण चुकाने और आयरन बैंक को उधार देने के लिए किया गया था, जिसने उन्हें लगातार उधार लेने और अधिक उधार लेने और हर बार cySUSD की आनुपातिक राशि प्राप्त करने की अनुमति दी थी।
मूल रूप से, हैकर्स ने इस प्रक्रिया को कई बार धोया और दोहराया, जिससे उन्हें बड़ी मात्रा में क्रीमी cyUSD की चोरी करने की अनुमति मिली, जिसके बदले में वे आयरन बैंक से अन्य क्रिप्टोकरेंसी उधार लेते थे। इसलिए, उन्होंने 13K रैप्ड एथेरियम (WETH), 3,6 मिलियन USDC, 5,6 मिलियन USDT और 4,2 मिलियन DAI उधार लिए।
जैसा कि आप देख सकते हैं, प्रक्रिया काफी जटिल हो सकती है और इसके लिए कई चरणों की आवश्यकता होती है जो बहुत जल्दी होने की आवश्यकता होती है, जो इस बात का प्रमाण है कि ये हमलावर कितनी दूर जाने को तैयार हैं।
डेफी में फ्लैश लोन अटैक आम क्यों हैं?
तत्काल ऋण कम जोखिम वाली, कम लागत वाली, उच्च इनाम वाली योजनाएं हैं, जो उन्हें अपराधियों के दिमाग में एक खतरनाक संयोजन बनाती हैं।
यहां मुख्य कारण हैं कि क्यों तत्काल ऋण हमले बढ़ रहे हैं।
तत्काल ऋण हमले सस्ते हैं
51% हमलों के विपरीत, जिन्हें निष्पादित करने के लिए बड़े पैमाने पर संसाधनों की आवश्यकता होती है, फ्लैश ऋण के लिए केवल तीन चीजों की आवश्यकता होती है: एक कंप्यूटर, एक इंटरनेट कनेक्शन और, सबसे महत्वपूर्ण, सरलता। हैकर्स को स्पष्ट रूप से योजना बनाने की आवश्यकता होती है कि वे कैसे हमला करते हैं, लेकिन निष्पादन में कुछ सेकंड से लेकर कुछ मिनट तक का समय लगता है। इसलिए इसमें बहुत अधिक समय निवेश की भी आवश्यकता नहीं है।
तत्काल ऋण हमले कम जोखिम वाले हैं
किसी भी आपराधिक गतिविधि में शामिल होने का जोखिम है, लेकिन बैंक में शारीरिक रूप से रहने की आवश्यकता के बिना बैंक को लूटने की कल्पना करें। यह तत्काल ऋण हमलावरों के दृष्टिकोण को संक्षेप में प्रस्तुत करता है। पिछले डेढ़ साल ने साबित कर दिया है कि डेफी प्रोटोकॉल को चुराना कितना आसान है।
वास्तव में, अभी तक किसी भी तत्काल ऋण हमलावर का पता नहीं चला है, कम से कम हाल ही में नहीं। ऐसा इसलिए है क्योंकि अनधिकृत नेटवर्क की प्रकृति और टॉरनेडो कैश जैसी पहचान को अस्पष्ट करने के लिए उपलब्ध टूल के कारण उनमें से अधिकांश गायब होने पर कोई निशान नहीं छोड़ते हैं।
फ्लैश ऋण हमलों को कैसे रोकें
इस समय तत्काल ऋण हमलों की बढ़ती संख्या को देखते हुए, यह स्पष्ट है कि अभी भी कोई पूर्ण और निश्चित समाधान नहीं है। हालांकि, इस समस्या से निपटने के लिए उल्लेखनीय कदम उठाए जा सकते हैं।
मूल्य डेटा के लिए विकेंद्रीकृत ओरेकल का उपयोग करें
फ्लैश ऋण शोषण के लिए हमले वेक्टर को कम करने का सबसे आदर्श तरीका है कि डीएफआई प्लेटफॉर्म अपने मूल्य निर्धारण फ़ीड के लिए एकल डीईएक्स पर निर्भर होने के बजाय विकेंद्रीकृत मूल्य निर्धारण ऑरेकल जैसे चेनलिंक और बैंड प्रोटोकॉल का उपयोग करें। पिछले मई में अपने अल्फा ओरेकल एग्रीगेटर को जारी करने का निर्णय लेने से पहले अल्फा होमोरा को इसे कठिन तरीके से सीखना पड़ा।
महत्वपूर्ण लेनदेन को दो ब्लॉक से गुजरने के लिए बाध्य करें
ड्रैगनफ्लाई रिसर्च ने तत्काल ऋण को एक के बजाय दो ब्लॉकों से गुजरने के लिए मजबूर करने का प्रस्ताव दिया। हालांकि, यह एक पूर्ण समाधान नहीं है, जैसे कि इसे गलत तरीके से डिज़ाइन किया गया है, एक्सप्लोरर तुरंत उधार लेकर दोनों ब्लॉकों पर हमला कर सकता है। साथ ही, यह डीआईएफआई प्रोटोकॉल के यूआई को नाटकीय रूप से प्रभावित कर सकता है क्योंकि लेनदेन अब समकालिक नहीं होंगे।
फ्लैश लोन अटैक डिटेक्शन टूल्स का उपयोग करना
शोषकों को तत्काल उधार के हमलों से बचने की अनुमति देने वाले सबसे बड़े कारकों में से एक डेफी प्लेटफॉर्म डेवलपर्स से प्रतिक्रिया समय में देरी है। और हम उन्हें दोष नहीं दे सकते क्योंकि बहुत देर होने तक कारनामों की पहचान करना अक्सर मुश्किल होता है।
OpenZeppelin ने हाल ही में OpenZeppelin Defender नामक एक कार्यक्रम जारी किया है जो परियोजना प्रबंधकों को स्मार्ट अनुबंध कारनामों और अन्य असामान्य गतिविधियों का पता लगाने की अनुमति देता है, जो उन्हें हमलों का तुरंत जवाब देने और बेअसर करने की अनुमति देगा। आपके ब्लॉग पोस्ट के अनुसार, यह टूल पहले ही Synthetix, Yearn और Opyn टीमों द्वारा एकीकृत किया जा चुका है।
Takeaway
तत्काल ऋण हमले आदर्श हैं और कम से कम थोड़ी देर के लिए यहां रहने के लिए हैं। सभी प्रस्तावित समाधानों के बावजूद, हमें यह ध्यान देने की आवश्यकता है कि डेफी तकनीक आत्मसंतुष्ट होने के लिए पर्याप्त परिपक्व नहीं है, क्योंकि हर हफ्ते हैकर्स द्वारा तय होने से पहले नई कमजोरियों को उजागर किया जाता है।
डेवलपर्स ऐसा करने का एकमात्र तरीका आज के समाधानों को अधिकतम करना है, और यदि वे काम नहीं करते हैं, तो जब भी उन पर हमला किया जाएगा, तो वे कुछ नया सीखेंगे।
उपयोगकर्ताओं के लिए, हमें डेफी योजनाओं में भाग लेने से हतोत्साहित नहीं होना चाहिए जैसे कि दांव लगाना, उपज की खेती और तरलता खनन, क्योंकि वे बहुत अधिक अवसर भी पेश करते हैं। बस इसमें शामिल जोखिमों को ध्यान से जांचना याद रखें और कभी भी ऐसी धनराशि जमा न करें जिसे आप खोना बर्दाश्त नहीं कर सकते। निवेश जोखिम प्रबंधन के बारे में है और डेफी दांव अलग नहीं है।
