BCGAME - Bonus Harian 5BTC Percuma!Sisi buruk DeFi muncul sekali lagi minggu ini apabila protokol Binance Smart Chain PancakeBunny mengalami serangan kerentanan Pinjaman Segera bernilai $200J, kehilangan lebih 700.000 BUNNY dan 114.000 token BNB dalam proses itu. Walaupun usaha terbaik industri, kerugian adalah kekal. Dan tidak, walaupun terdapat banyak permintaan, bahkan Nic Cage tidak dapat mendapatkan penggodam untuk meletakkan kembali Bunny ini ke dalam kotak.
Walau bagaimanapun, lelucon, serangan pinjaman segera tidak seketika. Sebenarnya, mereka menjadi masalah yang sangat serius di ruang cryptocurrency dan khususnya dalam kewangan terdesentralisasi (DeFi).
Dalam artikel ini, kita akan melihat apa itu, bagaimana ia berfungsi, mengapa mereka begitu biasa, dan jika ia dapat dihentikan.
Dalam artikel ini, kita akan membincangkan:
Apakah serangan segera terhadap pinjaman?
Serangan pinjaman segera adalah sejenis serangan DeFi di mana pencuri siber mengambil pinjaman segera (bentuk pinjaman tanpa jaminan) dari protokol pinjaman dan menggunakannya bersama dengan pelbagai jenis tipu daya untuk memanipulasi pasaran yang memihak kepada mereka. Serangan ini boleh berlaku hanya dalam beberapa saat dan masih melibatkan empat atau lebih protokol DeFi.
Serangan pinjaman segera adalah jenis serangan DeFi yang paling biasa kerana ia adalah yang paling murah dan paling mudah untuk dilaksanakan. Mereka terus-menerus menjadi berita utama sejak peningkatan popularitas DeFi pada tahun 2020 dan nampaknya berkembang dengan lebih liar pada tahun 2021, sehingga mencapai kerugian beberapa ratus juta dolar setakat ini.
Apa itu Pinjaman Kilat?
Pinjaman segera ialah jenis pinjaman tidak bercagar baharu yang dikuatkuasakan oleh kontrak pintar yang dilancarkan oleh Aave, salah satu protokol pinjaman terkemuka dalam DeFi.
Secara tradisional, terdapat dua jenis pinjaman: pinjaman bercagar, yang memerlukan jaminan, dan pinjaman tanpa jaminan, yang tidak. Contoh baik pinjaman tanpa jaminan adalah apabila anda meminjam $ 2.000 dari bank. Beberapa bank bersedia meminjamkan jumlah ini selagi anda mempunyai sejarah pembayaran pinjaman yang baik.
Walau bagaimanapun, jika jumlah yang anda ingin pinjam terlalu besar, terlalu berisiko bagi mereka untuk menawarkan pinjaman tanpa jaminan, walaupun anda mempunyai skor kredit yang baik. Sebagai contoh, jika anda ingin meminjam $ 30.000, bank biasanya meminta anda memberikan jaminan, seperti rumah, kenderaan, dan lain-lain, untuk mengurangkan risiko anda.
Pinjaman segera pada dasarnya adalah pinjaman steroid tanpa jaminan untuk generasi DeFi degen, tidak memerlukan cagaran, pemeriksaan kredit, atau batasan berapa banyak yang anda boleh pinjam, asalkan anda dapat membayar balik pinjaman dalam transaksi yang sama.
Arbitraj ialah kes penggunaan pinjaman kilat yang paling popular kerana ia membolehkan pedagang memperoleh hasil daripada perbezaan harga merentas berbilang bursa. Contohnya, jika LINK ialah $30 pada pertukaran A dan $35 pada pertukaran B, pengguna boleh meminjam melalui pinjaman cepat dan menjalankan pesanan berasingan untuk membeli 100 LINK dengan harga $3.000 pada pertukaran A, kemudian menjual semuanya dengan harga $3.500 pada pertukaran B dan membayar balik pinjaman $3.000. Dalam senario ini, pengguna boleh mendapatkan $500 tolak yuran.
Bagaimana Serangan Pinjaman Segera Berfungsi
Pinjaman segera membolehkan pengguna meminjam sebanyak yang mereka mahukan dengan modal sifar. Sebagai contoh, jika anda ingin meminjam $ 70.000 dalam ETH, protokol pinjaman segera memberikannya kepada anda, tetapi itu tidak bermaksud itu milik anda. Anda perlu melakukan sesuatu dengan dana yang dipinjam untuk membayar balik pinjaman dan mungkin mengantongi jumlah yang berlebihan.
Untuk ini berfungsi, proses perlu cepat dan hutang mesti dibayar dengan protokol tepat pada masanya, jika tidak, transaksi akan diterbalikkan. Pemberi pinjaman terdesentralisasi tidak memerlukan cagaran daripada anda, kerana perjanjian untuk membayar hutang anda dilaksanakan oleh blockchain . Penyerang pinjaman kilat berusaha mencari cara untuk memanipulasi pasaran sambil mematuhi peraturan rantaian blok.
Kajian kes
Mari kita teliti dua senario nyata mengenai serangan pinjaman segera yang berlaku untuk menggambarkan anatomi eksploitasi ini dengan lebih baik.
PancakeBunny Attack
Mari kita lihat semula arnab ini dan daya tarikannya yang boleh membawa maut kepada penggodam. Serangan pinjaman segera terbaru pada bulan Mei 2021 berlaku di PancakeBunny, agregator pengeluaran pertanian bertenaga BSC, yang mengalami eksploitasi yang menyebabkan tokennya merosot lebih dari 95% dari nilai sebelumnya.
Penyerang pada mulanya meminjam sejumlah besar BNB melalui PancakeSwap dan menggunakannya untuk memanipulasi harga USDT / BNB dan BUNNY / BNB dalam kolam PancakeBunny. Ini membolehkan penggodam mencuri sejumlah besar BUNNY, yang dibuangnya ke pasaran, menyebabkan harganya menjunam. Penggodam itu kemudiannya membayar hutang melalui PancakeSwap.
Data menunjukkan bahawa penggodam berjaya melarikan diri dengan keuntungan hampir $ 3 juta, meninggalkan protokol ternoda setelahnya.
Eksploitasi Alpha Homora
Peretasan pinjaman segera terbesar pada tahun 2021 berlaku pada Februari lalu, ketika protokol Alpha Homora dikurangkan $ 37 juta menggunakan Iron Bank, platform pinjaman Cream. Protokol pertanian berpendapatan leveraj dicapai dengan serangkaian pinjaman cepat.
Penggodam berulang kali meminta sUSD dari Iron Bank melalui Alpha Homora dapp, menggandakan jumlah yang dipinjam setiap kali. Ini dilakukan dalam proses dua transaksi di mana penggodam meminjamkan dana tersebut kepada Iron Bank setiap kali, yang membolehkan mereka menerima balasan Yearn Synth sUSD (cySUSD).
Kemudian, pelaku meminjam 1,8 juta syiling USD (USDC) dari Aave melalui pinjaman segera dan menukarnya dengan sUSD menggunakan Curve. SUSD digunakan untuk membayar balik pinjaman segera dan memberi pinjaman kepada Iron Bank, yang memungkinkan mereka untuk terus meminjam dan meminjam lebih banyak dan menerima jumlah cySUSD yang sebanding setiap kali.
Pada asasnya, penggodam membilas dan mengulangi proses ini berkali-kali, yang membolehkan mereka mencuri sejumlah besar cyUSD berkrim yang mereka, seterusnya, digunakan untuk meminjam mata wang kripto lain daripada Bank Besi. Oleh itu, mereka meminjam 13K Wrapped Ethereum (WETH), 3,6 juta USDC, 5,6 juta USDT dan 4,2 juta DAI.
Seperti yang anda lihat, prosesnya cukup rumit dan memerlukan serangkaian langkah yang perlu dilakukan dengan sangat cepat, yang merupakan bukti sejauh mana para penyerang ini sanggup pergi.
Mengapa Serangan Pinjaman Kilat Biasa di DeFi
Pinjaman segera adalah skim berisiko rendah, murah, dan bernilai tinggi, menjadikannya kombinasi berbahaya dalam fikiran penjenayah.
Inilah sebab utama mengapa serangan pinjaman segera meningkat.
Serangan Pinjaman Segera Murah
Tidak seperti 51% serangan yang memerlukan sumber daya yang besar untuk dilaksanakan, pinjaman kilat hanya memerlukan tiga perkara: komputer, sambungan Internet dan, yang paling penting, kepintaran. Peretas nampaknya perlu merancang bagaimana mereka menyerang, tetapi pelaksanaannya hanya memerlukan beberapa saat hingga beberapa minit. Oleh itu, ia juga tidak memerlukan banyak pelaburan masa.
Serangan Pinjaman Segera Berisiko Rendah
Terlibat dalam kegiatan jenayah berisiko, tetapi bayangkan merompak bank tanpa perlu secara fizikal berada di bank. Ini secara kasar merangkumi sudut pandang penyerang pinjaman segera. Setengah tahun terakhir telah membuktikan betapa senangnya mencuri protokol DeFi.
Sebenarnya, tidak ada penyerang pinjaman segera yang dikesan setakat ini, paling tidak baru-baru ini. Ini kerana kebanyakan dari mereka tidak meninggalkan jejak ketika hilang kerana sifat rangkaian yang tidak dibenarkan dan alat yang tersedia untuk menyembunyikan identiti seperti Tornado Cash.
Cara Mencegah Serangan Pinjaman Kilat
Memandangkan jumlah serangan pinjaman segera yang semakin meningkat pada masa ini, jelas bahawa penyelesaian yang lengkap dan pasti belum ada. Namun, ada langkah penting yang dapat diambil untuk mengatasi masalah ini.
Gunakan Oracle Desentralisasi untuk Data Harga
Cara paling ideal untuk mengurangkan vektor serangan untuk eksploitasi pinjaman kilat adalah untuk platform DeFi menggunakan oracle harga terdesentralisasi seperti Chainklink dan Band Protocol daripada bergantung pada satu DEX untuk suapan harga mereka. Alpha Homora harus belajar ini dengan sukar sebelum memutuskan untuk melepaskan Alpha Oracle Aggregator mereka pada bulan Mei yang lalu.
Memaksa transaksi kritikal melalui dua blok
Dragonfly Research mencadangkan memaksa pinjaman segera melalui dua blok dan bukannya satu blok. Namun, ini bukan penyelesaian lengkap, seolah-olah ia dirancang dengan tidak betul, penjelajah hanya dapat menyerang kedua-dua blok dengan meminjam segera. Juga, ini secara drastik dapat mempengaruhi UI protokol DeFi kerana transaksi tidak lagi segerak.
Menggunakan Alat Pengesanan Serangan Pinjaman Flash
Salah satu faktor terbesar yang membolehkan eksploitasi melepaskan serangan pinjaman segera adalah kelewatan masa tindak balas dari pembangun platform DeFi. Dan kita tidak boleh menyalahkan mereka kerana eksploitasi sering sukar dikenal pasti sehingga terlambat.
OpenZeppelin baru-baru ini merilis program bernama OpenZeppelin Defender yang membolehkan pengurus projek mengesan eksploitasi kontrak pintar dan aktiviti lain yang tidak biasa, yang membolehkan mereka bertindak balas dan meneutralkan serangan dengan cepat. Menurut catatan blog anda, alat ini telah disatukan oleh pasukan Synthetix, Yearn dan Opyn.
The Takeaway
Serangan pinjaman segera adalah perkara biasa dan berada di sini untuk kekal, sekurang-kurangnya untuk sementara waktu. Walaupun terdapat semua penyelesaian yang dicadangkan, kita perlu perhatikan bahawa teknologi DeFi tidak cukup matang untuk merasa puas, kerana setiap minggu kelemahan baru didedahkan oleh penggodam sebelum mereka diperbaiki.
Satu-satunya cara pembangun dapat melakukan ini adalah dengan memaksimumkan penyelesaian yang mereka ada hari ini, dan jika mereka tidak berjaya, mereka akan belajar sesuatu yang baru setiap kali mereka diserang.
Bagi pengguna, kita tidak boleh putus asa untuk berpartisipasi dalam skema DeFi seperti taruhan, penanaman hasil dan perlombongan kecairan, karena mereka juga memberikan banyak peluang. Ingatlah untuk menentukur risiko yang terlibat dengan teliti dan jangan sekali-kali menyimpan dana yang anda tidak akan rugi. Melabur adalah mengenai pengurusan risiko dan pengambilan DeFi tidak berbeza.
