рекламувати тут

Що таке атаки запозичень у Flash?

Потворна сторона DeFi знову проявила себе на цьому тижні, коли протокол Binance Smart Chain PancakeBunny зазнав катастрофічної атаки на 200 мільйонів доларів миттєвої позики, втративши понад 700.000 114.000 BUNNY і XNUMX XNUMX лексеми BNB в процесі. Незважаючи на всі зусилля галузі, втрата є постійною. І ні, незважаючи на численні запити, навіть Нік Кейдж не зміг змусити хакера повернути цього Кролика в коробку.

Однак, якщо відкинути жарти, атаки на миттєву позику не є миттєвими. Насправді, вони стають дуже серйозною проблемою в криптовалютному просторі, а особливо в децентралізованих фінансах (DeFi).

Бітслер

У цій статті ми розглянемо, що це таке, як вони працюють, чому вони такі поширені та чи можна їх зупинити.

Що таке атака миттєвої позики?

Атаки з миттєвою позикою — це тип атаки DeFi, під час якої кіберзлодій бере миттєву позику (форма незабезпеченої позики) із протоколу позики та використовує її у поєднанні з різними видами трюків, щоб маніпулювати ринком на свою користь. Ці атаки можуть відбуватися за лічені секунди і все одно включати чотири або більше протоколів DeFi.

Атаки миттєвих позик є найпоширенішими типами атак DeFi, оскільки вони найдешевші та найпростіші у виконанні. Вони постійно потрапляють у заголовки газет з моменту зростання популярності DeFi у 2020 році, а в 2021 році вони, схоже, стають все більш розповсюдженими, завдавши збитків у кілька сотень мільйонів доларів.

Що таке флеш-кредити?

Миттєві позики — це новий тип незабезпеченої позики, що забезпечується смарт-контрактами, запущеними Повз , один з основних протоколів кредитування в DeFi.

Традиційно розрізняють два типи кредитів: позики під заставу, які потребують застави, і незабезпечені позики, які не потребують. Хорошим прикладом незабезпеченої позики є те, що ви позичаєте 2.000 доларів США в банку. Деякі банки готові надати таку суму, якщо у вас є гарна історія платежів по кредиту.

Однак, якщо сума, яку ви збираєтеся позичити, занадто велика, для них було б занадто ризиковано пропонувати незабезпечену позику, навіть якщо у вас хороший кредитний рейтинг. Наприклад, якщо ви хочете позичити 30.000 XNUMX доларів США, банки зазвичай вимагають від вас надати заставу, як-от ваш будинок, автомобіль тощо, щоб зменшити ризик.

Миттєві позики — це, по суті, незабезпечені стероїдні позики для покоління DeFi degen, які не вимагають застави, перевірки кредитоспроможності чи обмеження на суму, яку ви можете позичити, якщо ви можете погасити позику в одній транзакції.

Арбітраж є найпопулярнішим випадком використання швидких позик, оскільки він дозволяє трейдерам отримувати прибуток від різниці в цінах на кількох біржах. Наприклад, якщо LINK становить 30 доларів США на біржі A і 35 доларів США на біржі B, користувач може позичити через швидку позику та виконати окреме замовлення, щоб купити 100 LINK за ​​3.000 3.500 доларів США на біржі A, а потім продати їх усі за 3.000 500 доларів США на біржі B і погасити позику в розмірі XNUMX дол. У цьому випадку користувач зможе отримати XNUMX доларів США за вирахуванням комісій.

Як працюють атаки миттєвої позики

Миттєві позики дозволяють користувачеві брати в борг стільки, скільки він хоче, з нульовим капіталом. Наприклад, якщо ви хочете позичити 70.000 XNUMX доларів США в ETH, протокол позики негайно надасть їх вам, але це не означає, що це ваше. Вам потрібно щось зробити з позиченими коштами, щоб погасити кредит і, можливо, прибрати зайву суму в кишеню.

Щоб це спрацювало, процес має бути швидким, а борг має бути погашений за протоколом вчасно, інакше транзакція буде скасована. Децентралізований кредитор не вимагає від вас застави, оскільки угода про погашення вашого боргу виконується блокчейном. Зловмисники миттєвих позик шукають способи маніпулювати ринком, дотримуючись правил блокчейну.

Тематичні дослідження

Давайте розглянемо два реальні сценарії миттєвих атак запозичень, які мали місце, щоб краще проілюструвати анатомію цих подвигів.

Атака млинців

Давайте ще раз поглянемо на цього кролика та його фатальну привабливість до хакерів. Остання атака миттєвого кредитування в травні 2021 року відбулася на PancakeBunny, агрегатор сільськогосподарського виробництва на базі BSC, який зазнав експлойту, внаслідок якого його токен впав більш ніж на 95% від його попередньої вартості.

Спочатку зловмисник позичив велику суму BNB через Обмін млинців і використовував його, щоб маніпулювати ціною USDT/BNB і BUNNY/BNB в пулах PancakeBunny. Це дозволило хакеру вкрасти велику кількість BUNNY, яку він кинув на ринок, в результаті чого ціна різко впала. Потім хакер погасив борг через PancakeSwap.

Дані свідчать про те, що хакеру вдалося отримати майже 3 мільйони доларів прибутку, залишивши після себе заплямований протокол.

Експлойт Alpha Homora

Найбільший злам миттєвої позики 2021 року стався в лютому минулого року, коли протокол Alpha Homora був витрачений на 37 мільйонів доларів за допомогою Iron Bank, кредитної платформи Cream. Протокол сільського господарства із залученням кредитних ресурсів був задоволений серією швидких позик.

  Парламентська група Великобританії починає розслідування крипторинку

Хакер неодноразово просив SUSD у Iron Bank через додаток Alpha Homora, щоразу подвоюючи позичену суму. Це було зроблено в процесі двох транзакцій, коли хакер щоразу позичав кошти в Iron Bank, що дозволяло їм отримати Yearn Synth sUSD (cySUSD) натомість.

Потім зловмисник позичив 1,8 мільйона доларів США (USDC) у Aave через миттєву позику та обміняв їх на sUSD за допомогою Curve. sUSD використовувався для погашення миттєвого кредиту та надання позик Iron Bank, що дозволяло їм постійно брати в борг і позичати все більше і щоразу отримувати пропорційну суму cySUSD.

По суті, хакери багато разів промивали та повторювали цей процес, що дозволяло їм вкрасти великі суми cyUSD, які вони, у свою чергу, використовували для позики інших криптовалют у Iron Bank. Тому вони позичили 13K Wrapped Ethereum (WETH), 3,6 млн USDC, 5,6 млн USDT та 4,2 млн DAI.

Як ви бачите, процес може бути досить складним і вимагає низки кроків, які потрібно виконати дуже швидко, що є свідченням того, як далеко ці зловмисники готові зайти.

Чому атаки флеш-запозичень поширені в DeFi

Миттєві позики — це схеми з низьким ризиком, низькою ціною та високою винагородою, що робить їх небезпечною комбінацією у свідомості злочинців.

Ось основні причини зростання кількості атак на миттєві позики.

Миттєві кредитні атаки дешеві

На відміну від 51% атак, для виконання яких потрібні величезні ресурси, флеш-кредитування вимагає лише трьох речей: комп’ютера, підключення до Інтернету та, головне, винахідливості. Хакерам, мабуть, потрібно планувати, як вони атакують, але виконання займає від кількох секунд до кількох хвилин. Тому це також не вимагає великих витрат часу.

Миттєві кредитні атаки мають низький ризик

Вчинення будь-якої злочинної діяльності є ризикованим, але уявіть, що ви пограбуєте банк, не перебуваючи в банку фізично. Це приблизно підсумовує точку зору зловмисників миттєвої позики. Останні півтора року довели, як легко вкрасти протоколи DeFi.

Насправді, наразі не було виявлено жодних зловмисників миттєвих позик, принаймні останнім часом. Це пояснюється тим, що більшість із них не залишає слідів, коли вони зникають через природу мереж без дозволу та доступних інструментів для приховування ідентичностей, таких як Tornado Cash.

Як запобігти флеш-атак кредиту

Враховуючи зростання кількості атак на миттєву позику на даний момент, зрозуміло, що повного та остаточного рішення досі немає. Однак є важливі кроки, які можна зробити для боротьби з цією проблемою.

Використовуйте децентралізовані Oracles для даних про ціни

Найідеальніший спосіб зменшити вектор атаки для флеш-позичок — використовувати платформи DeFi децентралізовані оракули ціноутворення, такі як Chainklink і Band Protocol, замість того, щоб покладатися на єдиний DEX для свого каналу цін. Alpha Homora довелося навчитися цьому на важкому шляху, перш ніж вирішити запустити агрегатор Alpha Oracle у травні минулого року.

Змусити критичні транзакції пройти через два блоки

Dragonfly Research запропонував примусити миттєві позики проходити через два блоки замість одного. Однак це не повне рішення, так як якщо воно спроектовано неправильно, провідник може просто атакувати обидва блоки шляхом миттєвого запозичення. Крім того, це може суттєво вплинути на інтерфейс користувача протоколів DeFi, оскільки транзакції більше не будуть синхронними.

Використання інструментів виявлення атак Flash Lending

Одним із найбільших факторів, що дозволяє експлуататорам уникнути миттєвих атак на запозичення, є затримка часу відповіді від розробників платформи DeFi. І ми не можемо їх звинувачувати, тому що подвиги часто важко визначити, поки не стане занадто пізно.

OpenZeppelin нещодавно випустив програму під назвою OpenZeppelin Defender, яка дозволяє менеджерам проектів виявляти експлойти смарт-контрактів та інші незвичайні дії, що дозволить їм швидко реагувати на атаки та нейтралізувати їх. Згідно з їхнім дописом у блозі, цей інструмент уже інтегровано командами Synthetix, Yearn та Opyn.

Їжа на винос

Миттєві атаки на позику є нормою і тривають, принаймні, на деякий час. Незважаючи на всі запропоновані рішення, ми повинні зазначити, що технологія DeFi недостатньо зріла, щоб бути самовдоволеним, оскільки щотижня хакери викривають нові вразливості перед тим, як їх виправляти.

Єдиний спосіб зробити це для розробників — максимізувати рішення, які вони мають сьогодні, і якщо вони не працюють, вони дізнаються щось нове, коли на них нападуть.

Що стосується користувачів, ми не повинні відмовлятися від участі в схемах DeFi, таких як стейкинг, вирощування врожаю та видобуток ліквідності, оскільки вони також представляють величезні можливості. Просто не забудьте ретельно відкалібрувати пов’язані ризики і ніколи не вносити кошти, які ви не можете дозволити собі втратити. Інвестування пов’язане з управлінням ризиками, а стейкинг DeFi нічим не відрізняється.



* PortalCripto цінує якість інформації та підтверджує перевірку всього контенту, створеного його командою, наголошуючи, однак, що він не дає жодних інвестиційних рекомендацій, не несучи відповідальності за збитки, збитки (прямі, непрямі та випадкові ), витрати та упущена вигода.

вам може сподобатися

Наступна стаття:

0 %