BCGAME - brezplačni dnevni bonus 5BTC!Grda stran DeFi-ja je ta teden znova dvignila glavo, ko je protokol Binance Smart Chain PancakeBunny doživel katastrofalen napad ranljivosti takojšnjega posojila v vrednosti 200 milijonov $, pri čemer je izgubil več kot 700.000 žetonov BUNNY in 114.000 žetonov BNB. Kljub največjim naporom industrije je izguba trajna. In ne, kljub številnim prošnjam niti Nic Cage ni uspel prepričati hekerja, da bi tega zajčka pospravil nazaj v škatlo.
Šalo na stran, napadi na takojšnje posojilo niso takojšnji. Pravzaprav postajajo zelo resna težava v prostoru kriptovalut in posebej decentraliziranih financ (DeFi).
V tem članku si bomo ogledali, kaj so, kako delujejo, zakaj so tako pogosti in ali jih je mogoče ustaviti.
V tem članku bomo razpravljali o:
Kaj je napad na takojšnje posojilo?
Napadi na takojšnje posojilo so vrsta napada DeFi, pri katerem kibernetski tat vzame takojšnje posojilo (oblika nezavarovanega posojila) iz protokola posojanja in ga uporabi v povezavi z različnimi vrstami trikov za manipulacijo trga v svojo korist. Ti napadi se lahko zgodijo v samo nekaj sekundah in še vedno vključujejo štiri ali več protokolov DeFi.
Napadi na takojšnje posojilo so najpogostejše vrste napadov na DeFi, saj so najcenejši in jih je najlažje izvesti. Vztrajno so na naslovnicah od porasta priljubljenosti DeFi leta 2020 in zdi se, da se leta 2021 še bolj razmahnejo in so do danes dosegle več sto milijonov dolarjev izgube.
Kaj so hitra posojila?
Takojšnja posojila so nova vrsta nezavarovanega posojila, ki ga uveljavljajo pametne pogodbe, ki jih je uvedel Aave, eden vodilnih protokolov posojanja v DeFi.
Tradicionalno obstajata dve vrsti posojil: zavarovana posojila, ki zahtevajo zavarovanje, in nezavarovana posojila, ki tega ne zahtevajo. Dober primer nezavarovanega posojila je, ko si pri banki izposodite 2.000 USD. Nekatere banke so vam pripravljene posoditi ta znesek, če imate dobro zgodovino odplačevanja posojila.
Če pa je znesek, ki si ga nameravate izposoditi, prevelik, bi bilo preveč tvegano, da bi vam ponudili nezavarovano posojilo, tudi če imate dobro kreditno oceno. Na primer, če si želite izposoditi 30.000 $, banke običajno zahtevajo, da zagotovite zavarovanje, kot je vaš dom, vozilo itd., da zmanjšate tveganje.
Takojšnja posojila so v bistvu nezavarovana steroidna posojila za generacijo DeFi degen, ki ne zahtevajo zavarovanja, nobenih kreditnih pregledov niti omejitve zneska, ki si ga lahko izposodite, če lahko vrnete posojilo v isti transakciji.
Arbitraža je najbolj priljubljen primer uporabe hitrih posojil, saj trgovcem omogoča zaslužek z razlikami v cenah na več borzah. Na primer, če LINK je 30 $ na borzi A in 35 $ na borzi B, si lahko uporabnik izposodi prek hitrega posojila in izvede ločeno naročilo za nakup 100 LINK za 3.000 $ na borzi A, nato pa vse proda za 3.500 $ na borzi B in vrne 3.000 $ posojila. V tem scenariju bi lahko uporabnik v žep pospravil 500 USD minus provizije.
Kako delujejo napadi na takojšnje posojilo
Takojšnja posojila uporabniku omogočajo, da si izposodi, kolikor želi, z ničelnim kapitalom. Na primer, če bi si radi izposodili ETH v vrednosti 70.000 $, vam ga protokol izposoje takoj da, vendar to ne pomeni, da je vaš. Z izposojenimi sredstvi morate nekaj narediti, da odplačate posojilo in morda presežek pospravite v žep.
Da bi to delovalo, mora biti postopek hiter in dolg mora biti poplačan s protokolom pravočasno, sicer bo transakcija razveljavljena. Decentralizirani posojilodajalec od vas ne zahteva zavarovanja, saj dogovor o plačilu vašega dolga izvrši blockchain . Napadalci na bliskovita posojila iščejo načine za manipulacijo trga, pri tem pa upoštevajo pravila verige blokov.
Študije primerov
Raziščimo dva resnična scenarija napadov na takojšnje posojanje, ki sta se zgodila, da bi dodatno ponazorili anatomijo teh podvigov.
PancakeBunny Attack
Ponovno si oglejmo tega zajca in njegovo usodno privlačnost za hekerje. Najnovejši napad s takojšnjim posojilom maja 2021 se je zgodil na PancakeBunny, agregator kmetijske proizvodnje, ki ga poganja BSC, ki je utrpel izkoriščanje, zaradi katerega je njegov žeton strmoglavil za več kot 95 % prejšnje vrednosti.
Napadalec si je sprva izposodil veliko količino BNB prek PancakeSwap in jo uporabil za manipulacijo cene USDT / BNB in BUNNY / BNB v bazenih PancakeBunny. To je hekerju omogočilo, da je ukradel veliko količino BUNNY-ja, ki ga je dal na trg, kar je povzročilo padec cene. Heker je nato plačal dolg prek PancakeSwap.
Podatki kažejo, da je hekerju uspelo pobegniti s skoraj 3 milijoni dolarjev dobička, za seboj pa je pustil omadeževan protokol.
Alpha Homora Exploit
Največji vdor v takojšnje posojilo v letu 2021 se je zgodil preteklega februarja, ko je bil protokol Alpha Homora izčrpan za 37 milijonov dolarjev z uporabo Iron Bank, Creamove posojilne platforme. Protokol kmetovanja s finančnim vzvodom je bil prizadet zaradi niza hitrih posojil.
Heker si je prek aplikacije Alpha Homora večkrat izposodil sUSD banke Iron Bank in vsakič podvojil izposojeni znesek. To je bilo storjeno v procesu dveh transakcij, kjer je heker vsakič posodil sredstva nazaj banki Iron Bank, kar jim je omogočilo, da so v zameno prejeli Yearn Synth sUSD (cySUSD).
Nato si je storilec od Aave s takojšnjim posojilom izposodil 1,8 milijona USD kovancev (USDC) in jih s Curve zamenjal za sUSD. SUSD je bil uporabljen za odplačilo takojšnjega posojila in posojanje banki Iron Bank, kar jim je omogočilo, da so se nenehno zadolževali in si izposojali več ter vsakič prejeli sorazmeren znesek cySUSD.
V bistvu so hekerji večkrat izprali in ponovili ta postopek, kar jim je omogočilo krajo velikih količin kremnih cyUSD, ki so jih nato uporabili za izposojo drugih kriptovalut pri Iron Bank. Zato so si izposodili 13K Wrapped Ethereum (WETH), 3,6 milijona USDC, 5,6 milijona USDT in 4,2 milijona DAI.
Kot lahko vidite, je postopek lahko precej zapleten in zahteva niz korakov, ki se morajo izvesti zelo hitro, kar dokazuje, kako daleč so ti napadalci pripravljeni iti.
Zakaj so napadi izposoje Flash pogosti v DeFi
Takojšnja posojila so sheme z nizkim tveganjem, nizkimi stroški in visokimi nagradami, zaradi česar so v glavah kriminalcev nevarna kombinacija.
Tu so glavni razlogi, zakaj so napadi na takojšnja posojila v porastu.
Napadi na takojšnja posojila so poceni
Za razliko od 51 % napadov, ki za izvedbo potrebujejo ogromna sredstva, so za izposojo flash potrebne le tri stvari: računalnik, internetna povezava in, kar je najpomembneje, iznajdljivost. Hekerji očitno morajo načrtovati, kako bodo napadli, vendar izvedba traja le nekaj sekund do nekaj minut. Zato tudi ne zahteva veliko časovnega vložka.
Napadi na takojšnja posojila so nizko tveganje
Ukvarjanje s katero koli kriminalno dejavnostjo prinaša tveganje, vendar si predstavljajte, da oropate banko, ne da bi morali biti fizično na banki. To v grobem povzema stališče napadalcev takojšnjih posojil. Zadnje leto in pol je dokazalo, kako enostavno je ukrasti protokole DeFi.
Pravzaprav do danes še niso odkrili napadalcev na takojšnje posojilo, vsaj ne v zadnjem času. To je zato, ker večina od njih ne pusti nobene sledi, ko izginejo zaradi narave omrežij brez dovoljenj in orodij, ki so na voljo za prikrivanje identitet, kot je Tornado Cash.
Kako preprečiti napade Flash Lending
Glede na trenutno naraščajoče število napadov na takojšnja posojila je jasno, da popolne in dokončne rešitve še ni. Vendar pa obstajajo opazni koraki, ki jih je mogoče sprejeti za boj proti tej težavi.
Za podatke o cenah uporabite decentralizirane Oracle
Najbolj idealen način za zmanjšanje vektorja napada za podvige posojanja flash je, da platforme DeFi uporabljajo decentralizirane cenovne oraklje, kot sta Chainklink in Band Protocol, namesto da se zanašajo na en sam DEX za svoj vir cen. Alpha Homora se je morala tega naučiti na težji način, preden se je maja lani odločila izdati svoj Alpha Oracle Aggregator.
Prisilite kritične transakcije skozi dva bloka
Dragonfly Research je predlagal, da bi takojšnja posojila morala iti skozi dva bloka namesto enega. Vendar to ni popolna rešitev, saj lahko raziskovalec, če je zasnovan nepravilno, preprosto napade oba bloka za takojšnjo izposojo. Prav tako lahko to drastično vpliva na uporabniški vmesnik protokolov DeFi, saj transakcije ne bodo več sinhrone.
Uporaba orodij za zaznavanje napadov Flash Lease
Eden največjih dejavnikov, ki izkoriščevalcem omogoča, da se izognejo napadom na takojšnje posojanje, je zaostanek odzivnih časov razvijalcev platforme DeFi. In ne moremo jih kriviti, ker je podvige pogosto težko prepoznati, dokler ni prepozno.
OpenZeppelin je nedavno izdal program, imenovan OpenZeppelin Defender, ki vodjem projektov omogoča odkrivanje izkoriščanja pametnih pogodb in drugih nenavadnih dejavnosti, kar bi jim omogočilo hiter odziv in nevtralizacijo napadov. Glede na njihovo objavo v blogu so to orodje že integrirale ekipe Synthetix, Yearn in Opyn.
Takeaway
Napadi na takojšnjo izposojo so običajni in bodo ostali vsaj nekaj časa. Kljub vsem predlaganim rešitvam moramo opozoriti, da tehnologija DeFi še ni dovolj zrela, da bi bila samozadovoljna, saj vsak teden hekerji razkrijejo nove ranljivosti, preden jih popravijo.
Edini način, da lahko razvijalci to storijo, je, da povečajo rešitve, ki jih imajo danes, in če ne bodo delovale, se bodo vsakič, ko bodo napadeni, naučili nekaj novega.
Kar zadeva uporabnike, nas ne bi smeli odvrniti od sodelovanja v shemah DeFi, kot so staking, gojenje donosa in rudarjenje likvidnosti, saj prav tako predstavljajo ogromne priložnosti. Samo ne pozabite skrbno umeriti vključenih tveganj in nikoli ne položite sredstev, ki si jih ne morete privoščiti izgubiti. Vlaganje je povezano z obvladovanjem tveganja in vlaganje DeFi ni nič drugače.
