BCGAME - בונוס יומי חינם של 5BTC!הצד המכוער של DeFi הרים את ראשו שוב השבוע כאשר פרוטוקול Binance Smart Chain PancakeBunny ספג מתקפה קטסטרופלית של 200 מיליון דולר של פגיעות הלוואות מיידיות, ואיבד יותר מ-700.000 BUNNY ו-114.000 אסימוני BNB בתהליך. למרות מאמצי התעשייה, ההפסד הוא קבוע. ולא, למרות בקשות רבות, אפילו ניק קייג' לא הצליח לגרום להאקר להחזיר את הארנב הזה לקופסה.
למרות הבדיחות בצד, התקפות הלוואה מיידיות אינן מיידיות. למעשה, הם הופכים לבעיה רצינית מאוד בתחום המטבעות הקריפטוגרפיים ובתחום הפיננסים המבוזרים במיוחד (DeFi).
במאמר זה, נבחן מה הם, כיצד הם פועלים, מדוע הם נפוצים כל כך והאם ניתן לעצור אותם.
במאמר זה, נדון ב:
מהי התקפת הלוואה מיידית?
התקפות הלוואות מיידיות הן סוג של מתקפת DeFi שבה גנב סייבר לוקח הלוואה מיידית (סוג של הלוואה לא מובטחת) מפרוטוקול הלוואות ומשתמש בה בשילוב עם סוגים שונים של טריקים כדי לתמרן את השוק לטובתו. התקפות אלו יכולות להתרחש תוך שניות בלבד ועדיין כרוכות בארבעה פרוטוקולי DeFi או יותר.
התקפות הלוואות מיידיות הן הסוגים הנפוצים ביותר של מתקפות DeFi, שכן הן הזולות והקלות ביותר לביצוע. הם נמצאים בכותרות בהתמדה מאז עליית הפופולריות של DeFi ב-2020 ונראה שהם הולכים ומשתוללים ב-2021, ומגיעים עד כה לכמה מאות מיליוני דולרים בהפסדים.
מהן הלוואות פלאש?
הלוואות מיידיות הן סוג חדש של הלוואות לא מובטחות הנאכפות על ידי חוזים חכמים שהשיקה Aave, אחד מפרוטוקולי ההלוואות המובילים ב-DeFi.
באופן מסורתי, היו שני סוגי הלוואות: הלוואות מובטחות, הדורשות בטחונות, והלוואות לא מובטחות, שלא. דוגמה טובה להלוואה לא מובטחת היא כאשר אתה לווה 2.000 דולר מבנק. יש בנקים שמוכנים להלוות לך את הסכום הזה כל עוד יש לך היסטוריית החזרי הלוואות טובה.
עם זאת, אם הסכום שאתה מתכוון ללוות גדול מדי, זה יהיה מסוכן מדי עבורם להציע לך הלוואה לא מובטחת גם אם יש לך דירוג אשראי טוב. לדוגמה, אם אתה רוצה ללוות $30.000, הבנקים בדרך כלל דורשים ממך לספק בטחונות כגון הבית, הרכב שלך וכו' כדי להפחית את הסיכון.
הלוואות מיידיות הן למעשה הלוואות סטרואידים לא מובטחות לדור הדג'ן של DeFi, שאינן דורשות בטחונות, ללא בדיקות אשראי, וגם לא הגבלה על כמה אתה יכול ללוות כל עוד אתה יכול להחזיר את ההלוואה באותה עסקה.
ארביטראז' הוא מקרה השימוש הפופולרי ביותר של הלוואות פלאש מכיוון שהוא מאפשר לסוחרים להרוויח מהפרשי מחירים על פני מספר בורסות. לדוגמה, אם קשר הוא $30 בבורסה A ו-$35 בבורסה B, משתמש יכול ללוות באמצעות הלוואה מהירה ולבצע הזמנה נפרדת לקניית 100 LINK תמורת 3.000$ בבורסה A, ואז למכור את כולם תמורת 3.500$ בבורסה B ולהחזיר את ההלוואה של 3.000$. בתרחיש זה, המשתמש יכול לכיס 500 $ פחות עמלות.
כיצד פועלות התקפות הלוואות מיידיות
הלוואות מיידיות מאפשרות למשתמש ללוות כמה שהוא רוצה בהון אפס. לדוגמה, אם תרצה ללוות ETH בשווי 70.000$, פרוטוקול הלוואה נותן לך את זה מיד, אבל זה לא אומר שזה שלך. אתה צריך לעשות משהו עם הכספים שנשאלו כדי לשלם את ההלוואה ואולי לכיסו את הסכום העודף.
כדי שזה יעבוד, התהליך צריך להיות מהיר ויש לשלם את החוב עם הפרוטוקול בזמן, אחרת העסקה תתהפך. מלווה מבוזר אינו דורש ממך בטחונות, מאחר שההסכם לתשלום חובך מבוצע על ידי blockchain . תוקפי הלוואות פלאש מבקשים למצוא דרכים לתמרן את השוק תוך ציות לכללי הבלוקצ'יין.
אסטודוס דה קאסו
בואו נחקור שני תרחישים בעולם האמיתי של התקפות הלוואות מיידיות שהתרחשו כדי להמחיש עוד יותר את האנטומיה של מעללים אלה.
PancakeBunny Attack
בואו נחזור על הארנב הזה ועל המשיכה הקטלנית שלו להאקרים. מתקפת ההלוואה המיידית האחרונה במאי 2021 התרחשה על PancakeBunny, אגרגטור ייצור חקלאי המופעל על ידי BSC, שספג ניצול שגרם לאסימון שלו לצנוח ביותר מ-95% מערכו הקודם.
התוקף שאל בתחילה כמות גדולה של BNB דרך PancakeSwap והשתמש בו כדי לתמרן את המחיר של USDT / BNB and BUNNY / BNB בבריכות PancakeBunny. זה איפשר להאקר לגנוב כמות גדולה של BUNNY, שהוא זרק לשוק, מה שגרם לצניחת המחיר. לאחר מכן, ההאקר שילם את החוב באמצעות PancakeSwap.
נתונים מראים שההאקר הצליח להתחמק עם כמעט 3 מיליון דולר ברווחים, והותיר אחריו פרוטוקול פגום.
ניצול אלפא הומורה
פריצת ההלוואה המיידית הגדולה ביותר של 2021 הגיעה בפברואר האחרון, כאשר פרוטוקול Alpha Homora ירד ב-37 מיליון דולר באמצעות Iron Bank, פלטפורמת ההלוואות של Cream. פרוטוקול החקלאות בהכנסה ממונפת נפגע מסדרה של הלוואות מהירות.
ההאקר שאל שוב ושוב את ה-sUSD של Iron Bank דרך ה-Alpha Homora dapp, והכפיל את הסכום שנשאל בכל פעם. זה נעשה בתהליך של שתי עסקאות שבו ההאקר הלווה את הכספים בחזרה ל-Iron Bank בכל פעם, מה שאפשר להם לקבל בתמורה את Yearn Synth sUSD (cySUSD).
לאחר מכן הלוה העבריין 1,8 מיליון דולר מטבעות (USDC) מ-Aave באמצעות הלוואה מיידית והחליף אותם ב-sUSD באמצעות Curve. ה-sUSD שימש כדי להחזיר את ההלוואה המיידית ולהלוות ל-Iron Bank, מה שאפשר להם ללוות וללוות ללא הרף ולקבל סכום פרופורציונלי של cySUSD בכל פעם.
בעיקרון, ההאקרים שטפו וחזרו על התהליך הזה פעמים רבות, מה שאפשר להם לגנוב כמויות גדולות של cyUSD שמנת שהם, בתורם, השתמשו כדי לשאול מטבעות קריפטוגרפיים אחרים מבנק הברזל. לכן, הם ליוו 13K Wrapped Ethereum (WETH), 3,6 מיליון USDC, 5,6 מיליון USDT ו-4,2 מיליון DAI.
כפי שאתה יכול לראות, התהליך יכול להיות די מורכב ודורש סדרה של שלבים שצריכים לקרות מהר מאוד, וזה עדות לכמה רחוק התוקפים האלה מוכנים ללכת.
מדוע התקפות הלוואות פלאש נפוצות ב-DeFi
הלוואות מיידיות הן תוכניות בעלות סיכון נמוך ותגמול גבוה, מה שהופך אותן לשילוב מסוכן במוחם של פושעים.
להלן הסיבות העיקריות לכך שהתקפות הלוואות מיידיות נמצאות במגמת עלייה.
התקפות הלוואות מיידיות הן זולות
בניגוד ל-51% מההתקפות שצריכות משאבים אדירים לביצוע, השאלת פלאש דורשת רק שלושה דברים: מחשב, חיבור לאינטרנט, והכי חשוב, כושר המצאה. האקרים כנראה צריכים לתכנן איך הם תוקפים, אבל הביצוע לוקח רק כמה שניות עד כמה דקות. לכן, זה גם לא דורש השקעת זמן רבה.
התקפות הלוואות מיידיות הן בסיכון נמוך
עיסוק בכל פעילות פלילית טומן בחובו סיכון, אך דמיינו לשדוד בנק ללא צורך להיות פיזית בבנק. זה מסכם בערך את נקודת המבט של תוקפי ההלוואות המיידיות. השנה וחצי האחרונות הוכיחה כמה קל לגנוב פרוטוקולי DeFi.
למעשה, עד היום לא זוהו תוקפי הלוואות מיידיות, לפחות לא לאחרונה. הסיבה לכך היא שרובם לא משאירים זכר כשהם נעלמים בשל אופי הרשתות חסרות ההרשאה והכלים הזמינים לטשטש זהויות כמו Tornado Cash.
כיצד למנוע התקפות הלוואות פלאש
בהתחשב במספר ההולך וגדל של התקפות הלוואות מיידיות כרגע, ברור שעדיין אין פתרון מלא וסופי. עם זאת, ישנם צעדים בולטים שניתן לנקוט כדי להילחם בבעיה זו.
השתמש ב-Oracles מבוזר עבור נתוני תמחור
הדרך האידיאלית ביותר לצמצם את וקטור ההתקפה לניצול הלוואות פלאש היא שפלטפורמות DeFi ישתמשו באורקלים מבוזרים של מחירים כמו Chainklink ו-Band Protocol במקום להסתמך על DEX יחיד עבור הזנת המחיר שלהן. Alpha Homora נאלצה ללמוד זאת בדרך הקשה לפני שהחליטה לשחרר את Alpha Oracle Aggregator שלה במאי האחרון.
כפה על עסקאות קריטיות לעבור שני בלוקים
Dragonfly Research הציע לאלץ הלוואות מיידיות לעבור שני בלוקים במקום אחד. עם זאת, זה לא פתרון מלא, שכן אם הוא תוכנן בצורה לא נכונה, הסייר יכול פשוט לתקוף את שני הבלוקים לצורך הלוואה מיידית. כמו כן, זה יכול להשפיע באופן דרסטי על ממשק המשתמש של פרוטוקולי DeFi, מכיוון שעסקאות לא יהיו עוד סינכרוניות.
שימוש בכלים לזיהוי התקפות חכירה ב-Flash
אחד הגורמים הגדולים ביותר המאפשרים לנצלנים לברוח ממתקפות הלוואות מיידיות הוא הפיגור בזמני התגובה של מפתחי פלטפורמת DeFi. ואנחנו לא יכולים להאשים אותם מכיוון שלעתים קרובות קשה לזהות מעללים עד שזה מאוחר מדי.
OpenZeppelin הוציאה לאחרונה תוכנית בשם OpenZeppelin Defender המאפשרת למנהלי פרויקטים לזהות ניצול חוזים חכמים ופעילויות חריגות אחרות, שיאפשרו להם להגיב במהירות ולנטרל התקפות. לפי הפוסט בבלוג שלהם, הכלי הזה כבר שולב על ידי צוותי Synthetix, Yearn ו-Opyn.
משלוחים
התקפות הלוואות מיידיות הן הנורמה והן כאן כדי להישאר, לפחות לזמן מה. למרות כל הפתרונות המוצעים, עלינו לציין שטכנולוגיית DeFi אינה בשלה מספיק כדי להיות שאננים, שכן בכל שבוע, נקודות תורפה חדשות נחשפות על ידי האקרים לפני תיקון.
הדרך היחידה שמפתחים יכולים לעשות זאת היא למקסם את הפתרונות שיש להם היום, ואם הם לא יעבדו, הם ילמדו משהו חדש בכל פעם שהם מותקפים.
באשר למשתמשים, אין להרתיע אותנו מהשתתפות בתוכניות DeFi כגון הימור, גידול תשואות וכריית נזילות, שכן הן גם מציגות הזדמנויות ענקיות. רק זכרו לכייל היטב את הסיכונים הכרוכים בכך ולעולם אל תפקידו כספים שאינכם יכולים להרשות לעצמכם להפסיד. השקעה היא כולה ניהול סיכונים והימור של DeFi אינו שונה.
