BCGAME - Ingyenes 5BTC napi bónusz!A DeFi csúnya oldala ezen a héten ismét felkapta a fejét, amikor a Binance Smart Chain PancakeBunny protokoll katasztrofális, 200 millió dolláros azonnali kölcsön sebezhetőségi támadást szenvedett el, több mint 700.000 114.000 BUNNY és XNUMX XNUMX BNB token elvesztésével. Az iparág minden erőfeszítése ellenére a veszteség tartós. És nem, a számos kérés ellenére még Nic Cage sem tudta rávenni a hackert, hogy tegye vissza ezt a nyuszit a dobozba.
Viccet félretéve azonban az azonnali hitelezési támadások nem azonnal. Valójában nagyon komoly problémákká válnak a kriptovaluta térben, és különösen a decentralizált pénzügyekben (DeFi).
Ebben a cikkben megvizsgáljuk, mik ezek, hogyan működnek, miért olyan gyakoriak, és ha le lehet állítani őket.
Ebben a cikkben a következőkről lesz szó:
Mi az azonnali támadás a hitelek ellen?
Az azonnali hiteltámadások a DeFi -támadások egy fajtája, amelyben egy számítógépes tolvaj azonnali kölcsönt (biztosíték nélküli kölcsön formát) vesz fel a hitelprotokollból, és különféle trükkökkel együtt használja fel a piac javára való manipulálására. Ezek a támadások pillanatok alatt megtörténhetnek, és még mindig négy vagy több DeFi protokollt tartalmaznak.
Az azonnali hiteltámadások a leggyakoribb DeFi -támadások, mivel ezek a legolcsóbbak és legegyszerűbben végrehajthatók. A DeFi népszerűségének 2020 -as növekedése óta folyamatosan szerepelnek a főcímeken, és úgy tűnik, hogy 2021 -ben vadabbul nőnek, és eddig több száz millió dolláros veszteséget értek el.
Mik azok a gyorshitelek?
Az azonnali hitelek egy új típusú fedezetlen hitel, amelyet az Aave, a DeFi egyik vezető hitelezési protokollja indított el intelligens szerződésekkel.
Hagyományosan kétféle hitel létezik: fedezett hitel, amelyhez fedezet szükséges, és fedezetlen kölcsön, amely nem. Jó példa a fedezetlen kölcsönre, ha 2.000 dollárt vesz fel egy bankból. Egyes bankok hajlandóak kölcsönadni ezt az összeget mindaddig, amíg jó hiteltörlesztési előzményei vannak.
Ha azonban a hitelt felvenni szándékozó összeg túl nagy, túl kockázatos lenne számukra fedezetlen hitelt ajánlani, még akkor is, ha jó a hitelképessége. Például, ha 30.000 XNUMX dollárt szeretne felvenni, a bankok általában megkövetelik, hogy biztosítékot adjanak, például lakást, járművet stb., A kockázat csökkentése érdekében.
Az azonnali hitelek lényegében fedezetlen szteroidhitelek a DeFi degen generáció számára, amelyek nem igényelnek fedezetet, hitelellenőrzést, és nem korlátozzák, hogy mennyit tudnak felvenni, mindaddig, amíg vissza tudja fizetni a kölcsönt ugyanazon ügylet során.
Az arbitrázs a gyorshitelek legnépszerűbb felhasználási módja, mivel lehetővé teszi a kereskedők számára, hogy több tőzsdén belüli árkülönbségekből keressenek. Például ha LINK 30 dollár az A tőzsdén és 35 dollár a B tőzsdén, a felhasználó gyorskölcsönből kölcsönözhet, és külön megbízást adhat 100 LINK vásárlására 3.000 dollárért az A tőzsdén, majd eladhatja mindet 3.500 dollárért a B tőzsdén, és visszafizetheti a 3.000 dolláros kölcsönt. Ebben a forgatókönyvben a felhasználó 500 USD mínusz díjakat tehet zsebre.
Hogyan működnek az azonnali hitelezési támadások
Az azonnali kölcsönök lehetővé teszik a felhasználó számára, hogy annyit tőkézzen, amennyit akar. Például, ha 70.000 XNUMX dollárt szeretne kölcsönözni ETH -ban, akkor a hitelprotokoll azonnal megadja, de ez nem jelenti azt, hogy a tiéd. Tennie kell valamit a kölcsönzött forrásokkal, hogy visszafizesse a kölcsönt, és esetleg zsebre tegye a felesleges összeget.
Ahhoz, hogy ez működjön, a folyamatnak gyorsnak kell lennie, és az adósságot időben ki kell fizetni a jegyzőkönyvvel, ellenkező esetben a tranzakció visszafordul. A decentralizált hitelező nem kér Öntől biztosítékot, mivel a tartozás kifizetésére vonatkozó megállapodást egy blockchain . A flash kölcsön támadói arra törekednek, hogy a blokklánc szabályainak betartása mellett manipulálják a piacot.
Esettanulmányok
Vizsgáljunk meg két valós forgatókönyvet az azonnali hiteltámadásokról, amelyek jobban szemléltetik e kizsákmányolás anatómiáját.
PancakeBunny Attack
Nézzük újra ezt a nyulat és annak végzetes vonzerejét a hackerek iránt. A legutóbbi, azonnali kölcsön elleni támadás 2021 májusában történt a PancakeBunny, a BSC által működtetett mezőgazdasági termelési aggregátor ellen, amely olyan kizsákmányolást szenvedett el, amelynek következtében a jelzője korábbi értékének több mint 95% -ával zuhant.
A támadó kezdetben nagy mennyiségű BNB-t vett fel kölcsön a PancakeSwapon keresztül, és azzal manipulálta az árát. USDT / BNB és BUNNY / BNB PancakeBunny medencékben. Ez lehetővé tette a hacker számára, hogy nagy mennyiségű BUNNY-t lopjon el, amelyet a piacra dobott, aminek következtében az ár zuhant. A hacker ezután a PancakeSwapon keresztül kifizette az adósságot.
Az adatok azt sugallják, hogy a hackernek sikerült közel 3 millió dolláros nyereséggel megúsznia, és egy rontott protokoll maradt a nyomában.
Alpha Homora Exploit
A 2021 -es legnagyobb azonnali hiteltörés tavaly februárban történt, amikor az Alpha Homora protokollt 37 millió dollárért lemerítették a Iron Bank, a Cream hitelezési platformja segítségével. A tőkeáttételes mezőgazdasági protokollt gyorshitelek sorozatával érték el.
A hacker többször kérte az sUSD -t az Iron Banktól az Alpha Homora dapp -on keresztül, minden alkalommal megkétszerezve a felvett összeget. Ez egy két tranzakciós folyamat során történt, amelyben a hacker minden alkalommal visszaadta a pénzeszközöket az Iron Banknak, ami lehetővé tette számukra, hogy cserébe megkapják a Yearn Synth sUSD-t (cySUSD).
Ezután az elkövető 1,8 millió USD érmét (USDC) vett kölcsön az Aave -től azonnali kölcsön útján, és a Curve segítségével sUSD -ra cserélte. Az sUSD -t az azonnali kölcsön visszafizetésére és a Vasbanknak nyújtott kölcsönökre használták fel, ami lehetővé tette számukra, hogy folyamatosan vegyenek fel és vegyenek fel többet, és minden alkalommal arányos mennyiségű cySUSD -t kapjanak.
Alapvetően a hackerek leöblítették és sokszor megismételték ezt a folyamatot, ami lehetővé tette számukra, hogy nagy mennyiségű krémes cyUSD-t lopjanak el, amelyet viszont más kriptovaluták kölcsönzésére használtak az Iron Banktól. Ezért kölcsönvettek 13K Wrapped Ethereumot (WETH), 3,6 millió USDC-t, 5,6 millió USDT-t és 4,2 millió DAI-t.
Amint láthatja, a folyamat meglehetősen bonyolult lehet, és számos olyan lépést igényel, amelyeknek nagyon gyorsan meg kell történniük, ami azt bizonyítja, hogy ezek a támadók mennyire hajlandók elmenni.
Miért gyakoriak a gyorshitel -támadások a DeFi -ben
Az azonnali hitelek alacsony kockázatú, alacsony költségű, magas jutalékú konstrukciók, így veszélyes kombinációt jelentenek a bűnözők fejében.
Íme a fő okok, amelyek miatt az azonnali hiteltámadások egyre nőnek.
Az azonnali hiteltámadások olcsók
Ellentétben a támadások 51% -ával, amelyek végrehajtásához hatalmas erőforrásokra van szükség, a gyorshitelekhez mindössze három dologra van szükség: számítógépre, internetkapcsolatra és, ami a legfontosabb, találékonyságra. A hackereknek nyilvánvalóan meg kell tervezniük, hogyan támadnak, de a végrehajtás csak néhány másodperctől néhány percig tart. Tehát ez sem igényel sok időbefektetést.
Az azonnali hiteltámadások alacsony kockázatúak
Bármilyen bűncselekményben való részvétel veszélyben van, de képzelje el, hogy kirabol egy bankot anélkül, hogy fizikailag ott kellene lennie a banknál. Ez durván összefoglalja az azonnali hiteltámadók álláspontját. Az elmúlt másfél év bebizonyította, milyen könnyű ellopni a DeFi protokollokat.
Valójában eddig nem észleltek azonnali kölcsön támadókat, legalábbis nemrégiben. Ennek oka az, hogy a legtöbbjük nem hagy nyomot, amikor eltűnnek az illetéktelen hálózatok jellege és az identitások elfedésére szolgáló eszközök, például a Tornado Cash miatt.
Hogyan lehet megakadályozni a gyorshitel -támadásokat
Figyelembe véve az azonnali hiteltámadások egyre növekvő számát, egyértelmű, hogy teljes és végleges megoldás még nem létezik. Vannak azonban figyelemre méltó lépések a probléma leküzdésére.
Használjon decentralizált orákulumot az áradatokhoz
A legideálisabb módja annak, hogy csökkentsék a támadási vektort a gyorskölcsön -kihasználások esetén, ha a DeFi platformok decentralizált árképzési orákulumokat használnak, mint például a Chainklink és a Band Protocol, ahelyett, hogy egyetlen DEX -re támaszkodnának árazási hírcsatornájukban. Az Alpha Homorának ezt keményen meg kellett tanulnia, mielőtt tavaly májusban úgy döntött, hogy kiadja Alpha Oracle Aggregatorját.
Kényszerítse a kritikus tranzakciókat két blokkon keresztül
A Dragonfly Research azt javasolta, hogy kényszerítsék az azonnali kölcsönöket, hogy ne két blokkon menjenek keresztül. Ez azonban nem teljes megoldás, mivel ha helytelenül tervezték, a felfedező azonnali kölcsönzéssel egyszerűen megtámadhatja mindkét blokkot. Ezenkívül ez drasztikusan befolyásolhatja a DeFi protokollok felhasználói felületét, mivel a tranzakciók többé nem lesznek szinkronban.
A Flash Loan Attack Detection Tools használata
Az egyik legnagyobb tényező, amely lehetővé teszi a kihasználók számára, hogy megússzák az azonnali hitelfelvételi támadásokat, a DeFi platformfejlesztők válaszidejének késése. És nem hibáztathatjuk őket, mert a kizsákmányolásokat gyakran nehéz azonosítani, amíg nem késő.
Az OpenZeppelin nemrég kiadta az OpenZeppelin Defender nevű programot, amely lehetővé teszi a projektmenedzserek számára, hogy észleljék az intelligens szerződéses kihasználásokat és más szokatlan tevékenységeket, amelyek lehetővé teszik számukra a gyors reagálást és a támadások semlegesítését. A blogbejegyzésed szerint ezt az eszközt már integrálták a Synthetix, a Yearn és az Opyn csapatai.
Az Elvihető
Az azonnali hiteltámadások a normák, és itt maradnak, legalábbis egy ideig. Az összes javasolt megoldás ellenére meg kell jegyeznünk, hogy a DeFi technológia nem elég érett ahhoz, hogy önelégült legyen, mivel minden héten új biztonsági réseket fedeznek fel a hackerek, mielőtt kijavítják.
A fejlesztők ezt csak úgy tehetik meg, hogy maximalizálják a mai megoldásaikat, és ha nem működnek, akkor valami újat tanulnak, amikor megtámadják őket.
Ami a felhasználókat illeti, nem szabad elbátortalanodnunk attól, hogy részt vegyünk olyan DeFi -rendszerekben, mint a tét, a hozamtermesztés és a likviditásbányászat, mivel ezek óriási lehetőségeket is kínálnak. Csak ne feledje, hogy gondosan kalibrálja a kapcsolódó kockázatokat, és soha ne helyezzen be pénzt, amelyet nem engedhet meg magának. A befektetés a kockázatkezelésről szól, és a DeFi staking sem más.
