BCGAME - 무료 5BTC 일일 보너스!이번 주 바이낸스 스마트 체인 PancakeBunny 프로토콜이 200억 달러 규모의 즉각적인 대출 취약점 공격을 받아 700.000개 이상의 BUNNY와 114.000개 BNB 토큰이 손실되면서 DeFi의 추악한 측면이 다시 한 번 고개를 들었습니다. 업계의 최선의 노력에도 불구하고 손실은 영구적입니다. 그리고 수많은 요청에도 불구하고 Nic Cage조차도 해커가 이 토끼를 다시 상자에 넣도록 할 수 없었습니다.
그러나 농담은 차치하고, 즉각적인 대출 공격은 즉각적이지 않습니다. 사실, 그들은 암호화폐 공간, 특히 탈중앙화 금융(DeFi)에서 매우 심각한 문제가 되고 있습니다.
이 기사에서 우리는 그들이 무엇인지, 어떻게 작동하는지, 왜 그렇게 흔한 지, 그리고 중지 할 수 있는지를 살펴볼 것입니다.
이 기사에서는 다음에 대해 논의합니다.
대출에 대한 즉각적인 공격이란 무엇입니까?
즉석 대출 공격은 사이버 도둑이 대출 프로토콜에서 즉석 대출 (무담보 대출의 한 형태)을 가져와 다양한 유형의 트릭과 함께 사용하여 시장을 유리하게 조작하는 DeFi 공격 유형입니다. 이러한 공격은 단 몇 초 만에 발생할 수 있으며 여전히 XNUMX 개 이상의 DeFi 프로토콜이 관련됩니다.
즉각적인 대출 공격은 가장 저렴하고 실행하기 쉬운 DeFi 공격의 가장 일반적인 유형입니다. 그들은 2020 년 DeFi의 인기가 상승한 이후 지속적으로 헤드 라인을 장식 해 왔으며 2021 년에는 더욱 격렬하게 성장하여 지금까지 수억 달러의 손실을 기록했습니다.
플래시 론이란?
즉시 대출은 DeFi의 주요 대출 프로토콜 중 하나인 Aave가 시작한 스마트 계약에 의해 시행되는 새로운 유형의 무담보 대출입니다.
전통적으로 대출에는 담보가 필요한 담보 대출과 그렇지 않은 무담보 대출의 두 가지 유형이 있습니다. 무담보 대출의 좋은 예는 은행에서 $ 2.000를 빌릴 때입니다. 일부 은행은 대출 상환 내역이 좋은 한이 금액을 기꺼이 빌려줍니다.
그러나 대출하려는 금액이 너무 크면 신용 점수가 좋더라도 무담보 대출을 제공하기에는 너무 위험합니다. 예를 들어, $ 30.000를 빌리려는 경우 은행은 일반적으로 위험을 줄이기 위해 집, 차량 등과 같은 담보를 제공하도록 요구합니다.
즉석 대출은 기본적으로 DeFi degen 세대를위한 무담보 스테로이드 대출로, 동일한 거래에서 대출금을 상환 할 수있는 한 담보, 신용 확인 또는 대출 금액 제한이 필요하지 않습니다.
차익거래는 거래자가 여러 거래소의 가격 차이를 통해 수익을 얻을 수 있도록 하는 플래시 대출의 가장 인기 있는 사용 사례입니다. 예를 들어, LINK A 거래소에서 30달러, B 거래소에서 35달러인 경우 사용자는 빠른 대출을 통해 대출을 받고 A 거래소에서 100 LINK를 3.000달러에 구매하는 별도의 주문을 수행한 다음 B 거래소에서 모두 3.500달러에 판매하고 대출금 3.000달러를 갚을 수 있습니다. 이 시나리오에서 사용자는 $500에서 수수료를 뺀 금액을 부담할 수 있습니다.
인스턴트 대출 공격의 작동 방식
즉시 대출을 통해 사용자는 자본금없이 원하는만큼 대출 할 수 있습니다. 예를 들어, ETH로 $ 70.000을 빌리려면 대출 프로토콜이 즉시 제공하지만 이것이 귀하의 것이라는 의미는 아닙니다. 대출금을 상환하고 초과 금액을 지불하려면 빌린 자금으로 무언가를해야합니다.
이것이 작동하려면 프로세스가 빨라야 하며 프로토콜을 통해 적시에 부채를 상환해야 합니다. 그렇지 않으면 거래가 취소됩니다. 분산형 대출 기관은 귀하에게 담보를 요구하지 않습니다. 왜냐하면 귀하의 부채 지불 계약은 blockchain . 플래시 대출 공격자는 블록체인의 규칙을 준수하면서 시장을 조작할 방법을 찾으려고 합니다.
사례 연구
이러한 익스플로잇의 구조를 더 잘 설명하기 위해 발생한 즉각적인 대출 공격의 두 가지 실제 시나리오를 살펴 보겠습니다.
팬케이크 버니 공격
이 토끼와 해커에 대한 치명적인 매력을 다시 살펴 보겠습니다. 2021 년 95 월 가장 최근에 발생한 즉각적인 대출 공격은 BSC 기반 농업 생산 어 그리 게이터 인 PancakeBunny에서 발생했으며, 악용으로 인해 토큰이 이전 가치의 XNUMX % 이상 급락했습니다.
공격자는 초기에 PancakeSwap을 통해 대량의 BNB를 빌려 BNB의 가격을 조작하는 데 사용했습니다. USDT / PancakeBunny 풀의 BNB 및 BUNNY / BNB. 이로 인해 해커는 대량의 BUNNY를 훔쳐 시장에 내다 팔아 가격이 폭락했습니다. 그런 다음 해커는 PancakeSwap을 통해 빚을 갚았습니다.
이 데이터는 해커가 거의 3 백만 달러의 수익을 냈고, 그의 여파로 프로토콜이 변색되었다는 것을 보여줍니다.
Alpha Homora 익스플로잇
2021 년 가장 큰 즉석 대출 해킹은 작년 37 월 크림의 대출 플랫폼 인 Iron Bank를 사용하여 Alpha Homora 프로토콜이 XNUMX 만 달러를 소모했을 때 발생했습니다. 차입 소득 농업 프로토콜은 일련의 빠른 대출을 통해 달성되었습니다.
해커는 Alpha Homora dapp을 통해 Iron Bank에 sUSD를 반복해서 요청하여 매번 빌리는 금액을 두 배로 늘 렸습니다. 이것은 해커가 매번 Iron Bank에 자금을 빌려주는 두 가지 트랜잭션 프로세스로 이루어졌으며,이를 통해 Yearn Synth sUSD (cySUSD)를 대가로받을 수있었습니다.
가해자는 즉시 대출을 통해 Aave에서 1,8 만 USD 코인 (USDC)을 빌려 Curve를 사용하여 sUSD로 교환했습니다. sUSD는 즉시 대출금을 상환하고 Iron Bank에 대출하는 데 사용되었으며,이를 통해 지속적으로 더 많이 빌리고 빌릴 수 있으며 매번 일정한 금액의 cySUSD를받을 수있었습니다.
기본적으로 해커는 이 과정을 여러 번 헹구고 반복하여 많은 양의 크리미한 cyUSD를 훔쳐 아이언 뱅크에서 다른 암호화폐를 빌리는 데 사용했습니다. 따라서 그들은 13K Wrapped Ethereum(WETH), 3,6만 USDC, 5,6만 USDT 및 4,2만 DAI를 빌렸습니다.
보시다시피이 프로세스는 매우 복잡 할 수 있으며 매우 빠르게 발생해야하는 일련의 단계가 필요합니다. 이는 이러한 공격자가 얼마나 멀리 갈 수 있는지에 대한 증거입니다.
DeFi에서 플래시 대출 공격이 일반적인 이유
즉석 대출은 위험이 낮고 비용이 높으며 보상이 높은 계획이므로 범죄자들의 마음에 위험한 조합이됩니다.
즉각적인 대출 공격이 증가하는 주된 이유는 다음과 같습니다.
즉시 대출 공격은 저렴합니다
실행에 막대한 리소스가 필요한 공격의 51 %와 달리 플래시 대출에는 컴퓨터, 인터넷 연결, 그리고 가장 중요한 것은 독창성이라는 세 가지만 필요합니다. 해커는 공격 방법을 계획해야하지만 실행에는 몇 초에서 몇 분 밖에 걸리지 않습니다. 따라서 많은 시간 투자가 필요하지 않습니다.
즉각적인 대출 공격은 위험이 낮습니다.
범죄 행위에 가담하는 것은 위험하지만 실제로 은행에있을 필요없이 은행을 강탈한다고 상상해보십시오. 이것은 즉시 대출 공격자의 관점을 총체적으로 요약합니다. 지난 XNUMX 년 반 동안 DeFi 프로토콜을 훔치는 것이 얼마나 쉬운 지 입증되었습니다.
사실 지금까지, 적어도 최근까지는 즉각적인 대출 공격자가 발견되지 않았습니다. 대부분은 권한이없는 네트워크의 특성과 Tornado Cash와 같은 신원을 난독 화하는 데 사용할 수있는 도구로 인해 사라질 때 흔적을 남기지 않기 때문입니다.
플래시 론 공격을 방지하는 방법
현재 즉각적인 대출 공격이 증가하고 있음을 고려할 때 완전하고 확실한 솔루션이 아직 존재하지 않음이 분명합니다. 그러나이 문제를 해결하기 위해 취할 수있는 주목할만한 조치가 있습니다.
가격 데이터에 분산 형 오라클 사용
플래시 대출 익스플로잇에 대한 공격 벡터를 줄이는 가장 이상적인 방법은 DeFi 플랫폼이 가격 피드에 단일 DEX에 의존하는 대신 Chainklink 및 Band Protocol과 같은 분산 형 가격 책정 오라클을 사용하는 것입니다. Alpha Homora는 작년 XNUMX 월에 Alpha Oracle Aggregator를 출시하기로 결정하기 전에이를 어려운 방법으로 배워야했습니다.
중요한 트랜잭션이 두 블록을 통과하도록 강제
Dragonfly Research는 즉석 대출이 한 블록이 아닌 두 블록을 통과하도록 강제 할 것을 제안했습니다. 그러나 이것은 잘못 설계된 것처럼 완전한 솔루션이 아닙니다. 탐험가는 즉시 차용으로 두 블록을 모두 공격 할 수 있습니다. 또한 트랜잭션이 더 이상 동기화되지 않으므로 DeFi 프로토콜의 UI에 큰 영향을 미칠 수 있습니다.
Flash Loan 공격 탐지 도구 사용
악용자가 즉각적인 차용 공격을 피할 수있는 가장 큰 요인 중 하나는 DeFi 플랫폼 개발자의 응답 시간 지연입니다. 그리고 공격은 너무 늦을 때까지 식별하기가 어렵 기 때문에 그들을 비난 할 수 없습니다.
OpenZeppelin은 최근 프로젝트 관리자가 스마트 계약 악용 및 기타 비정상적인 활동을 탐지 할 수있는 OpenZeppelin Defender라는 프로그램을 출시하여 공격에 신속하게 대응하고 무력화 할 수 있습니다. 블로그 게시물에 따르면이 도구는 이미 Synthetix, Yearn 및 Opyn 팀에 의해 통합되었습니다.
테이크 아웃
즉각적인 대출 공격이 일반적이며 적어도 잠시 동안 머물러 있습니다. 제안 된 모든 솔루션에도 불구하고 DeFi 기술은 해커가 해결하기 전에 매주 새로운 취약점이 노출되기 때문에 만족할만큼 성숙하지 않다는 점에 유의해야합니다.
개발자가이를 수행 할 수있는 유일한 방법은 현재 보유한 솔루션을 극대화하는 것이며, 작동하지 않으면 공격을받을 때마다 새로운 것을 배우게됩니다.
사용자의 경우 스테이 킹, 수율 재배 및 유동성 채굴과 같은 DeFi 계획에 참여하는 것을 낙담해서는 안됩니다. 관련된 위험을 신중하게 조정하고 손실을 감당할 수없는 자금을 입금하지 마십시오. 투자는 위험 관리에 관한 것이며 DeFi 스테이 킹도 다르지 않습니다.
