BC.GAMEОтримайте 5 BTC зараз

Що таке атаки запозичень у Flash?

Хакерська атака на децентралізовану біржу Orion Protocol завдала збитків на 3 мільйони доларів США
BC.GAMEBCGAME - Найкраще казино, безкоштовний щоденний бонус 5 BTC!BC.GAME Безкоштовний щоденний бонус 5 BTC!
Зареєструватися зараз

Потворна сторона DeFi знову підняла голову цього тижня, коли протокол Binance Smart Chain PancakeBunny зазнав катастрофічної атаки на вразливість Instant Loan на суму 200 мільйонів доларів, у результаті чого було втрачено понад 700.000 114.000 токенів BUNNY і XNUMX XNUMX BNB. Незважаючи на всі зусилля галузі, втрата є постійною. І ні, незважаючи на численні прохання, навіть Нік Кейдж не зміг змусити хакера повернути цього Кролика назад у коробку.

Однак, якщо відкинути жарти, атаки на миттєву позику не є миттєвими. Насправді, вони стають дуже серйозною проблемою в криптовалютному просторі, а особливо в децентралізованих фінансах (DeFi).

У цій статті ми розглянемо, що це таке, як вони працюють, чому вони такі поширені та чи можна їх зупинити.

Що таке атака миттєвої позики?

Атаки з миттєвою позикою — це тип атаки DeFi, під час якої кіберзлодій бере миттєву позику (форма незабезпеченої позики) із протоколу позики та використовує її у поєднанні з різними видами трюків, щоб маніпулювати ринком на свою користь. Ці атаки можуть відбуватися за лічені секунди і все одно включати чотири або більше протоколів DeFi.

Атаки миттєвих позик є найпоширенішими типами атак DeFi, оскільки вони найдешевші та найпростіші у виконанні. Вони постійно потрапляють у заголовки газет з моменту зростання популярності DeFi у 2020 році, а в 2021 році вони, схоже, стають все більш розповсюдженими, завдавши збитків у кілька сотень мільйонів доларів.

Що таке флеш-кредити?

Миттєві позики — це новий тип незабезпеченої позики, яка забезпечується смарт-контрактами, запущеними Aave, одним із провідних протоколів кредитування в DeFi.

Традиційно розрізняють два типи кредитів: позики під заставу, які потребують застави, і незабезпечені позики, які не потребують. Хорошим прикладом незабезпеченої позики є те, що ви позичаєте 2.000 доларів США в банку. Деякі банки готові надати таку суму, якщо у вас є гарна історія платежів по кредиту.

Однак, якщо сума, яку ви збираєтеся позичити, занадто велика, для них було б занадто ризиковано пропонувати незабезпечену позику, навіть якщо у вас хороший кредитний рейтинг. Наприклад, якщо ви хочете позичити 30.000 XNUMX доларів США, банки зазвичай вимагають від вас надати заставу, як-от ваш будинок, автомобіль тощо, щоб зменшити ризик.

Миттєві позики — це, по суті, незабезпечені стероїдні позики для покоління DeFi degen, які не вимагають застави, перевірки кредитоспроможності чи обмеження на суму, яку ви можете позичити, якщо ви можете погасити позику в одній транзакції.

Арбітраж є найпопулярнішим варіантом використання флеш-кредитів, оскільки він дозволяє трейдерам заробляти на різниці цін на кількох біржах. Наприклад, якщо LINK становить 30 доларів США на біржі A та 35 доларів США на біржі B, користувач може позичити за допомогою швидкої позики та зробити окреме замовлення, щоб купити 100 LINK за ​​3.000 доларів США на біржі A, а потім продати їх усі за 3.500 доларів США на біржі B і повернути позику в 3.000 доларів США. У цьому сценарії користувач міг би покласти собі в кишеню 500 доларів США мінус комісії.

Як працюють атаки миттєвої позики

Миттєві позики дозволяють користувачеві брати в борг стільки, скільки він хоче, з нульовим капіталом. Наприклад, якщо ви хочете позичити 70.000 XNUMX доларів США в ETH, протокол позики негайно надасть їх вам, але це не означає, що це ваше. Вам потрібно щось зробити з позиченими коштами, щоб погасити кредит і, можливо, прибрати зайву суму в кишеню.

Щоб це спрацювало, процес має бути швидким, а борг має бути вчасно погашений за допомогою протоколу, інакше транзакцію буде скасовано. Децентралізований кредитор не вимагає від вас застави, оскільки угода про сплату вашого боргу виконується blockchain . Зловмисники на флеш-кредити намагаються знайти способи маніпулювати ринком, дотримуючись правил блокчейну.

Тематичні дослідження

Давайте розглянемо два реальні сценарії миттєвих атак запозичень, які мали місце, щоб краще проілюструвати анатомію цих подвигів.

Атака млинців

Давайте ще раз поглянемо на цього кролика та його фатальну привабливість до хакерів. Остання атака миттєвого кредитування в травні 2021 року відбулася на PancakeBunny, агрегатор сільськогосподарського виробництва на базі BSC, який зазнав експлойту, внаслідок якого його токен впав більш ніж на 95% від його попередньої вартості.

Спочатку зловмисник позичив велику суму BNB через PancakeSwap і використав її для маніпулювання ціною USDT / BNB і BUNNY / BNB в басейнах PancakeBunny. Це дозволило хакеру вкрасти велику кількість BUNNY, яку він викинув на ринок, що призвело до різкого падіння ціни. Потім хакер сплатив борг через PancakeSwap.

Читайте також:   KuCoin страждає від масових відтоків після звинувачень уряду США

Дані свідчать про те, що хакеру вдалося отримати майже 3 мільйони доларів прибутку, залишивши після себе заплямований протокол.

Експлойт Alpha Homora

Найбільший злам миттєвої позики 2021 року стався в лютому минулого року, коли протокол Alpha Homora був витрачений на 37 мільйонів доларів за допомогою Iron Bank, кредитної платформи Cream. Протокол сільського господарства із залученням кредитних ресурсів був задоволений серією швидких позик.

Хакер неодноразово просив SUSD у Iron Bank через додаток Alpha Homora, щоразу подвоюючи позичену суму. Це було зроблено в процесі двох транзакцій, коли хакер щоразу позичав кошти в Iron Bank, що дозволяло їм отримати Yearn Synth sUSD (cySUSD) натомість.

Потім зловмисник позичив 1,8 мільйона доларів США (USDC) у Aave через миттєву позику та обміняв їх на sUSD за допомогою Curve. sUSD використовувався для погашення миттєвого кредиту та надання позик Iron Bank, що дозволяло їм постійно брати в борг і позичати все більше і щоразу отримувати пропорційну суму cySUSD.

По суті, хакери промивали та повторювали цей процес багато разів, що дозволило їм викрасти великі суми cyUSD, які вони, у свою чергу, використовували для запозичення інших криптовалют у Iron Bank. Тому вони позичили 13K Wrapped Ethereum (WETH), 3,6 мільйона USDC, 5,6 мільйона USDT і 4,2 ​​мільйона DAI.

Як ви бачите, процес може бути досить складним і вимагає низки кроків, які потрібно виконати дуже швидко, що є свідченням того, як далеко ці зловмисники готові зайти.

Чому атаки флеш-запозичень поширені в DeFi

Миттєві позики — це схеми з низьким ризиком, низькою ціною та високою винагородою, що робить їх небезпечною комбінацією у свідомості злочинців.

Ось основні причини зростання кількості атак на миттєві позики.

Миттєві кредитні атаки дешеві

На відміну від 51% атак, для виконання яких потрібні величезні ресурси, флеш-кредитування вимагає лише трьох речей: комп’ютера, підключення до Інтернету та, головне, винахідливості. Хакерам, мабуть, потрібно планувати, як вони атакують, але виконання займає від кількох секунд до кількох хвилин. Тому це також не вимагає великих витрат часу.

Миттєві кредитні атаки мають низький ризик

Вчинення будь-якої злочинної діяльності є ризикованим, але уявіть, що ви пограбуєте банк, не перебуваючи в банку фізично. Це приблизно підсумовує точку зору зловмисників миттєвої позики. Останні півтора року довели, як легко вкрасти протоколи DeFi.

Насправді, наразі не було виявлено жодних зловмисників миттєвих позик, принаймні останнім часом. Це пояснюється тим, що більшість із них не залишає слідів, коли вони зникають через природу мереж без дозволу та доступних інструментів для приховування ідентичностей, таких як Tornado Cash.

Як запобігти флеш-атак кредиту

Враховуючи зростання кількості атак на миттєву позику на даний момент, зрозуміло, що повного та остаточного рішення досі немає. Однак є важливі кроки, які можна зробити для боротьби з цією проблемою.

Використовуйте децентралізовані Oracles для даних про ціни

Найідеальніший спосіб зменшити вектор атаки для флеш-позичок — використовувати платформи DeFi децентралізовані оракули ціноутворення, такі як Chainklink і Band Protocol, замість того, щоб покладатися на єдиний DEX для свого каналу цін. Alpha Homora довелося навчитися цьому на важкому шляху, перш ніж вирішити запустити агрегатор Alpha Oracle у травні минулого року.

Змусити критичні транзакції пройти через два блоки

Dragonfly Research запропонував примусити миттєві позики проходити через два блоки замість одного. Однак це не повне рішення, так як якщо воно спроектовано неправильно, провідник може просто атакувати обидва блоки шляхом миттєвого запозичення. Крім того, це може суттєво вплинути на інтерфейс користувача протоколів DeFi, оскільки транзакції більше не будуть синхронними.

Використання інструментів виявлення атак Flash Lending

Одним із найбільших факторів, що дозволяє експлуататорам уникнути миттєвих атак на запозичення, є затримка часу відповіді від розробників платформи DeFi. І ми не можемо їх звинувачувати, тому що подвиги часто важко визначити, поки не стане занадто пізно.

OpenZeppelin нещодавно випустив програму під назвою OpenZeppelin Defender, яка дозволяє менеджерам проектів виявляти експлойти смарт-контрактів та інші незвичайні дії, що дозволить їм швидко реагувати на атаки та нейтралізувати їх. Згідно з їхнім дописом у блозі, цей інструмент уже інтегровано командами Synthetix, Yearn та Opyn.

Їжа на винос

Миттєві атаки на позику є нормою і тривають, принаймні, на деякий час. Незважаючи на всі запропоновані рішення, ми повинні зазначити, що технологія DeFi недостатньо зріла, щоб бути самовдоволеним, оскільки щотижня хакери викривають нові вразливості перед тим, як їх виправляти.

Єдиний спосіб зробити це для розробників — максимізувати рішення, які вони мають сьогодні, і якщо вони не працюють, вони дізнаються щось нове, коли на них нападуть.

Що стосується користувачів, ми не повинні відмовлятися від участі в схемах DeFi, таких як стейкинг, вирощування врожаю та видобуток ліквідності, оскільки вони також представляють величезні можливості. Просто не забудьте ретельно відкалібрувати пов’язані ризики і ніколи не вносити кошти, які ви не можете дозволити собі втратити. Інвестування пов’язане з управлінням ризиками, а стейкинг DeFi нічим не відрізняється.

Застереження: Погляди та думки, висловлені автором або будь-ким, згаданим у цій статті, наведено лише для інформаційних цілей і не є фінансовою, інвестиційною чи іншою порадою. Інвестиції або торгівля криптовалютами пов’язані з ризиком фінансових втрат.
Усього:
0
акції

Схожі статті