BCGAME - Bonus giornaliero gratuito da 5 BTC!Il lato brutto della DeFi è emerso ancora una volta questa settimana quando il protocollo Binance Smart Chain PancakeBunny ha subito un catastrofico attacco di vulnerabilità del prestito istantaneo da $ 200 milioni, perdendo oltre 700.000 BUNNY e 114.000 token BNB nel processo. Nonostante i migliori sforzi del settore, la perdita è permanente. E no, nonostante le numerose richieste, nemmeno Nic Cage è riuscito a convincere l'hacker a rimettere questo coniglietto nella scatola.
Scherzi a parte, tuttavia, gli attacchi di prestito istantaneo non sono istantanei. In effetti, stanno diventando un problema molto serio nello spazio delle criptovalute e in particolare nella finanza decentralizzata (DeFi).
In questo articolo, vedremo cosa sono, come funzionano, perché sono così comuni e se possono essere fermati.
In questo articolo parleremo di:
Che cos'è un attacco istantaneo ai prestiti?
Gli attacchi di prestito istantaneo sono un tipo di attacco DeFi in cui un ladro informatico prende un prestito istantaneo (una forma di prestito non garantito) da un protocollo di prestito e lo utilizza insieme a vari tipi di trucchi per manipolare il mercato a loro favore. Questi attacchi possono verificarsi in pochi secondi e coinvolgono ancora quattro o più protocolli DeFi.
Gli attacchi di prestito istantaneo sono i tipi più comuni di attacchi DeFi in quanto sono i più economici e facili da eseguire. Hanno costantemente fatto notizia dall'aumento di popolarità della DeFi nel 2020 e sembrano crescere più selvaggiamente nel 2021, colpendo finora diverse centinaia di milioni di dollari di perdite.
Cosa sono i Prestiti Flash?
I prestiti istantanei sono un nuovo tipo di prestito non garantito imposto da contratti intelligenti lanciati da Aave, uno dei principali protocolli di prestito in DeFi.
Tradizionalmente, ci sono due tipi di prestiti: prestiti garantiti, che richiedono garanzie, e prestiti non garantiti, che non lo fanno. Un buon esempio di prestito non garantito è quando prendi in prestito $ 2.000 da una banca. Alcune banche sono disposte a prestare questo importo purché si disponga di una buona storia di rimborso del prestito.
Tuttavia, se l'importo che intendi prendere in prestito è troppo grande, sarebbe troppo rischioso per loro offrire un prestito non garantito, anche se hai un buon punteggio di credito. Ad esempio, se vuoi prendere in prestito $ 30.000, le banche in genere richiedono di fornire garanzie, come la tua casa, il tuo veicolo, ecc., Per ridurre il rischio.
I prestiti istantanei sono essenzialmente prestiti steroidei non garantiti per la generazione DeFi degen, che non richiedono garanzie collaterali, controlli del credito né un limite su quanto puoi prendere in prestito, purché tu possa rimborsare il prestito nella stessa transazione.
L’arbitraggio è il caso d’uso più popolare dei prestiti flash in quanto consente ai trader di guadagnare dalle differenze di prezzo su più borse. Ad esempio, se LINK è di $ 30 sull'exchange A e $ 35 sull'exchange B, un utente può prendere in prestito tramite un prestito veloce ed effettuare un ordine separato per acquistare 100 LINK per $ 3.000 sull'exchange A, quindi venderli tutti per $ 3.500 sull'exchange B e rimborsare il prestito di $ 3.000. In questo scenario, l’utente potrebbe intascare 500 dollari meno le commissioni.
Come funzionano gli attacchi di prestito istantaneo
I prestiti istantanei consentono all'utente di prendere in prestito quanto desidera con un capitale zero. Ad esempio, se desideri prendere in prestito $ 70.000 in ETH, un protocollo di prestito te lo dà immediatamente, ma ciò non significa che sia tuo. Devi fare qualcosa con i fondi presi in prestito per rimborsare il prestito e forse intascare l'importo in eccesso.
Affinché ciò funzioni, è necessario che il processo sia rapido e che il debito venga saldato in tempo con il protocollo, altrimenti l’operazione verrà annullata. Un prestatore decentralizzato non richiede garanzie da parte tua, poiché l'accordo per pagare il tuo debito viene eseguito da a blockchain . Gli aggressori dei prestiti flash cercano di trovare modi per manipolare il mercato rispettando le regole di una blockchain.
Estudos de Caso
Esploriamo due scenari reali di attacchi di prestito istantaneo che si sono verificati per illustrare meglio l'anatomia di questi exploit.
PancakeBunny Attack
Rivisitiamo questo coniglio e la sua attrazione fatale per gli hacker. Il più recente attacco di prestito istantaneo nel maggio 2021 si è verificato su PancakeBunny, un aggregatore di produzione agricola alimentato da BSC, che ha subito uno sfruttamento che ha causato il crollo del suo token di oltre il 95% del suo valore precedente.
L'aggressore inizialmente ha preso in prestito una grande quantità di BNB tramite PancakeSwap e l'ha utilizzata per manipolare il prezzo di USDT / BNB e BUNNY / BNB nelle piscine PancakeBunny. Ciò ha permesso all'hacker di rubare una grande quantità di BUNNY, che ha scaricato sul mercato, facendo precipitare il prezzo. L'hacker ha quindi pagato il debito tramite PancakeSwap.
I dati suggeriscono che l'hacker è riuscito a farla franca con quasi 3 milioni di dollari di profitti, lasciandosi dietro un protocollo macchiato.
Exploit di Alpha Homora
Il più grande hacking del prestito istantaneo del 2021 si è verificato lo scorso febbraio, quando il protocollo Alpha Homora è stato prosciugato di 37 milioni di dollari utilizzando Iron Bank, la piattaforma di prestito di Cream. Il protocollo dell'agricoltura con reddito di leva è stato raggiunto da una serie di prestiti veloci.
L'hacker ha richiesto ripetutamente il sUSD a Iron Bank tramite l'app Alpha Homora, raddoppiando ogni volta l'importo preso in prestito. Ciò è stato fatto in un processo di due transazioni in cui l'hacker ha restituito i fondi a Iron Bank ogni volta, il che ha permesso loro di ricevere in cambio Yearn Synth sUSD (cySUSD).
L'autore ha quindi preso in prestito 1,8 milioni di monete USD (USDC) da Aave tramite un prestito istantaneo e le ha scambiate con sUSD utilizzando Curve . Il sUSD è stato utilizzato per rimborsare il prestito istantaneo e prestare alla Iron Bank, il che ha permesso loro di prendere continuamente in prestito e prendere in prestito di più e ricevere ogni volta una quantità proporzionata di cySUSD.
Fondamentalmente, gli hacker hanno risciacquato e ripetuto questo processo molte volte, il che ha permesso loro di rubare grandi quantità di cremoso cyUSD che, a loro volta, hanno utilizzato per prendere in prestito altre criptovalute dalla Banca di ferro. Pertanto, hanno preso in prestito 13K Wrapped Ethereum (WETH), 3,6 milioni di USDC, 5,6 milioni di USDT e 4,2 milioni di DAI.
Come puoi vedere, il processo può essere piuttosto complesso e richiede una serie di passaggi che devono essere eseguiti molto rapidamente, il che dimostra fino a che punto questi aggressori sono disposti a spingersi.
Perché gli attacchi di prestito flash sono comuni in DeFi
I prestiti istantanei sono schemi a basso rischio, a basso costo e ad alta ricompensa, che li rendono una combinazione pericolosa nella mente dei criminali.
Ecco i motivi principali per cui sono in aumento gli attacchi ai prestiti istantanei.
Gli attacchi di prestito istantaneo sono economici
A differenza del 51% degli attacchi che richiedono enormi risorse per essere eseguiti, i prestiti flash richiedono solo tre cose: un computer, una connessione Internet e, soprattutto, ingegno. Apparentemente gli hacker devono pianificare il modo in cui attaccano, ma l'esecuzione richiede solo da pochi secondi a pochi minuti. Quindi non richiede nemmeno un investimento di molto tempo.
Gli attacchi di prestito istantaneo sono a basso rischio
È a rischio intraprendere qualsiasi attività criminale, ma immagina di rapinare una banca senza la necessità di essere fisicamente in banca. Questo riassume grossolanamente il punto di vista degli aggressori del prestito istantaneo. L'ultimo anno e mezzo ha dimostrato quanto sia facile rubare i protocolli DeFi.
In effetti, finora non sono stati rilevati aggressori di prestiti istantanei, almeno non di recente. Questo perché la maggior parte di loro non lascia traccia quando scompaiono a causa della natura delle reti non autorizzate e degli strumenti disponibili per offuscare identità come Tornado Cash.
Come prevenire gli attacchi di prestito flash
Considerando il numero crescente di attacchi di prestito istantaneo in questo momento, è chiaro che non esiste ancora una soluzione completa e definitiva. Tuttavia, ci sono misure notevoli che possono essere prese per combattere questo problema.
Usa gli oracoli decentralizzati per i dati sui prezzi
Il modo più ideale per ridurre il vettore di attacco per gli exploit dei prestiti flash è che le piattaforme DeFi utilizzino oracoli dei prezzi decentralizzati come Chainklink e Band Protocol piuttosto che fare affidamento su un singolo DEX per il loro feed dei prezzi. Alpha Homora ha dovuto impararlo nel modo più duro prima di decidere di rilasciare il suo Alpha Oracle Aggregator lo scorso maggio.
Forza le transazioni critiche a passare attraverso due blocchi
Dragonfly Research ha proposto di obbligare i prestiti istantanei a passare attraverso due blocchi anziché uno. Tuttavia, questa non è una soluzione completa, poiché se fosse progettata in modo errato, l'esploratore può semplicemente attaccare entrambi i blocchi con un prestito istantaneo. Inoltre, ciò può influire notevolmente sull'interfaccia utente dei protocolli DeFi poiché le transazioni non saranno più sincrone.
Utilizzo degli strumenti di rilevamento degli attacchi di prestito flash
Uno dei maggiori fattori che consente agli sfruttatori di farla franca con attacchi di prestito istantaneo è il ritardo nei tempi di risposta da parte degli sviluppatori della piattaforma DeFi. E non possiamo biasimarli perché gli exploit sono spesso difficili da identificare finché non è troppo tardi.
OpenZeppelin ha recentemente rilasciato un programma chiamato OpenZeppelin Defender che consente ai project manager di rilevare exploit di contratti intelligenti e altre attività insolite, che consentirebbe loro di rispondere rapidamente e neutralizzare gli attacchi. Secondo il tuo post sul blog, questo strumento è già stato integrato dai team Synthetix, Yearn e Opyn.
Il Takeaway
Gli attacchi di prestito istantaneo sono la norma e sono qui per restare, almeno per un po'. Nonostante tutte le soluzioni proposte, dobbiamo notare che la tecnologia DeFi non è abbastanza matura per essere compiacenti, poiché ogni settimana vengono esposte nuove vulnerabilità dagli hacker prima che vengano risolte.
L'unico modo in cui gli sviluppatori possono farlo è massimizzare le soluzioni che hanno oggi e, se non funzionano, impareranno qualcosa di nuovo ogni volta che vengono attaccati.
Per quanto riguarda gli utenti, non dovremmo essere scoraggiati dal partecipare a schemi DeFi come lo staking, la coltivazione del rendimento e l'estrazione di liquidità, poiché presentano anche enormi opportunità. Ricorda solo di calibrare attentamente i rischi coinvolti e non depositare mai fondi che non puoi permetterti di perdere. L'investimento riguarda la gestione del rischio e lo staking DeFi non è diverso.
