Resumo de IA
Mostrar mais
Entenda rapidamente o conteúdo do artigo e avalie o sentimento do mercado em apenas 30 segundos!
A maneira como as pessoas veem e usam criptomoedas mudou muito desde o desenvolvimento de finanças descentralizadas (DeFi), especialmente com plataformas financeiras independentes que oferecem diferentes tipos de empréstimo de cripto, o que, por sua vez, fornece muito valor para tomadores e credores.
Um desses tipos de empréstimo que aumentou em popularidade no ecossistema DeFi é o empréstimo flash, pois permite que os tomadores se beneficiem rapidamente de oportunidades de arbitragem. Ela fornece os fundos emprestados para comprar um criptoativo, vendê-lo, pagar o empréstimo e obter lucros.
Infelizmente, embora a ideia seja excelente e funcione bem, há aqueles que exploram essa forma de empréstimo. Continue lendo para saber mais sobre ataques de empréstimos flash e como evitá-los.
Um ataque de empréstimo flash é um abuso da segurança de contratos inteligentes de uma plataforma específica, na qual um invasor geralmente pega muitos empréstimos que não exigem garantia. Em seguida, manipulam o preço de um criptoativo em uma corretora e rapidamente o revendem em outra.
O processo é rápido e o invasor repete o processo várias vezes antes de terminar e sair sem nenhum rastro.
O desenvolvimento do espaço de empréstimo DeFi tornou o empréstimo de cripto muito popular. Como eles alavancam todo o poder das tecnologias atualmente disponíveis, os empréstimos flash se tornaram uma forma muito atraente de empréstimo.
O termo "empréstimo flash" descreve quando um mutuário faz um empréstimo sem precisar de garantia. Você pode se perguntar: Como isso é possível? Usando ocontrato inteligente de uma plataforma, todo o processo de empréstimo e devolução ocorre em uma única transação no blockchain.
Isso significa que o mutuário precisa agir rapidamente e devolver o empréstimo em um curto período de tempo. Se o credor falhar de alguma forma, toda a transação será anulada como se nada tivesse acontecido.
O princípio é simples e muito prático. Ao contrário dos empréstimos tradicionais e seguros, você não precisa de nenhuma garantia, pontuação de crédito ou administração para processar um empréstimo sem garantia. Você pode colocar grandes quantidades detablecoin em questão de segundos e usá-la em seu benefício tão rapidamente.
É isso que alguns traders em várias plataformas DeFi estão fazendo. Por exemplo, os usuários podem obter esses empréstimos, usar os fundos em uma oportunidade de arbitragem, devolver o empréstimo e manter os lucros.
O processo de empréstimo é automatizado e, quando tudo funciona, tanto o credor quanto o mutuário se beneficiam do empréstimo. Se algo der errado, a transação será cancelada e não haverá lucro para nenhuma das partes.
Considerando como a tecnologia ainda está evoluindo, os ataques de empréstimo flash DeFi são atualmente comuns. Atualmente, mais de 70 explorações DeFi foram usadas para roubar grandes quantidades, ao ajuste de cerca de US$ 1,5 bilhão . A tendência provavelmente continuará nos próximos anos, porque tornar a segurança de uma plataforma impenetrável é uma tarefa desafiadora.
O primeiro desafio se resume à incapacidade do desenvolvedor de cobrir todos os possíveis pontos fracos, já que a tecnologia blockchain é bastante nova. Outro problema é que os sistemas são desenvolvidos rapidamente, e muito dinheiro está em cada um desses projetos. As apostas são altas e muitos desenvolvedores experimentam diferentes métodos para encontrar os bugs no sistema. Alguns invasores de empréstimos flash aproveitam cálculos incorretos de pools de liquidez. Outros ainda são ataques de mineradores ou erros de codificação.
Infelizmente, o que torna tudo possível também é a fraqueza.
O desafio dos contratos inteligentes é que eles têm controle total sobre os protocolos DeFi. Assim que os invasores entenderem como eles operam em detalhes minuciosos, eles podem manipular as deficiências de um contrato e usá-las em seu benefício.
Isso significa que a segurança da DeFi é um equilíbrio delicado: a habilidade do criador de contratos do protocolo de um lado e o hacker do outro.
Outra vulnerabilidade se resume aos dados de preços da plataforma. Como há muitas corretoras em todo o mundo, encontrar um preço real para criptoativos digitais é praticamente impossível. Essa diferença nos preços é o que torna o trading de arbitragem atraente. Seguir os mercados é uma ótima maneira de obter lucros, devido a flutuações legítimas de preço. No entanto, os ataques de flash loan manipulam os preços e exploram a mudança repentina neles.
Quando o invasor recebe o empréstimo flash, ele cria uma liquidação artificial, causando uma queda acentuada no preço de um criptoativo.
Felizmente, já existem sistemas em vigor para evitar esse abuso de empréstimos não garantidos. Vamos abordar isso logo após explorarmos alguns exemplos de ataques de empréstimo flash.
Até agora, houve dezenas de ocorrências de ataques de empréstimo flash. Aqui estão apenas alguns dos maiores.
O C.R.E.A.M. Finance está sob ataque várias vezes em 2021. Um dos maiores roubos envolveuUS$ 130 milhões . Os culpados roubaram tokens de liquidez CREAM, totalizando milhões de dólares em um período de tempo não revelado. Todas as perdas são visíveis na cadeia , e os culpados ainda não foram pegos.
Felizmente, a brecha foi apenas uma parte do sistema DeFi da Cream, pois a plataforma de seu parceiro de fusão, a Yearn Finance, permaneceu segura. Assim como a maioria dos hackers do protocolo DeFi, os invasores usaram vários empréstimos flash e manipularam os preços do theoracle .
Com a ajuda da equipe de Yearn, a plataforma rapidamente corrigiu a vulnerabilidade.
Em fevereiro de 2021, uma invasão ao protocolo Alpha Homora resultou em uma perda de $37 milhões . O invasor de empréstimos flash também usou o Iron Bank da C.R.E.A.M. Finance por meio de uma série de empréstimos flash. O Iron Bank é o braço de empréstimo do protocolo Alpha Homora.
Os hackers repetiram o processo várias vezes até acumularem CreamY USD (ou cyUSD) e, em seguida, usaram os tokens para tomar emprestado outras criptomoedas. A invasão foi bastante complexa e envolveu várias etapas. Essencialmente, o invasor manipulou fortemente o pool de sUSD do HomoraBank v2.
Eles realizaram uma série de transações e empréstimos flash, permitindo que abusassem do protocolo de empréstimo entre o HomoraBank v2 e o Iron Bank. Você pode explorar o ataque Alpha Homora post mortem em mais detalhes para ver o que os hackers fizeram.
Além disso, eles exploraram o erro de cálculo de arredondamento dos cálculos de empréstimo em situações em que há um único mutuário.
Há casos em que os protocolos exigem o momento e a manipulação certos dos preços. Esse foi o caso de uma exploração de dYdX no início de 2020. O invasor usou a plataforma para obter o empréstimo flash, depois dividiu os fundos e os usou em duas plataformas de trading: Fulcrum e Compound.
A primeira parte foi usada no Fulcrum em troca de ETH para WBTC. No processo, a Kyber Network recebeu a ordem por meio da DEX da Uniswap . O resultado foi que o pool de baixa liquidez do Uniswap impulsionou o preço da WBTC incrivelmente alto.
Simultaneamente, o invasor usou a segunda parte do empréstimo na plataforma Compound para obter um empréstimo flash WBTC. À medida que o preço disparava na Uniswap, o invasor rapidamente fez a troca, e um lucro ilegal significativo.
Em maio de 2021, um hacker colocou a plataforma PancakeBunny à prova, roubando quase $3 milhões . O hacker primeiro aproveitou o PancakeSwap para obter um grande empréstimo de BNB. Durante o ataque, o hacker manipulou os pares de trading BUNNY/BNB e USDT/BNB.
Depois disso, um grande empréstimo flash forneceu ao hacker uma enorme quantidade de tokens BUNNY, que ele imediatamente despejou, pagando BNB e desaparecendo com os lucros. A negociação total levou a uma queda chocante no preço da PancakeBunny, de US$ 146 para US$ 6,17.
À medida que mais ataques ocorrem, os especialistas em segurança estão aprendendo mais sobre várias explorações de empréstimos flash. Todas as vulnerabilidades nos exemplos mencionados acima foram corrigidas e suas ocorrências deram origem a duas soluções populares.
Como a maioria dos ataques de empréstimos flash depende da manipulação de preços, é necessário combater essa abordagem com oráculos de preços descentralizados. Bons exemplos sãoChainlink eBand Protocol . Essas plataformas mantêm todos os protocolos seguros, apresentando os preços precisos de diferentes criptomoedas.
Por exemplo, ataques DeFi como o que aconteceu com o dYdX não serão possíveis porque os protocolos não receberão o feed de preço de uma únicaDEX .
A Alpha Homora agora usa o Agregador Alfa Oracle para evitar que o histórico se repita. Veremos mais sistemas como este, pois o tamanho do mercado DeFi continua crescendo .
O ecossistema DeFi usa tecnologias de ponta que estão remodelando as perspectivas dos sistemas financeiros internacionais. Esse tipo de atenção coloca um grande ônus em todo o sistema.
A boa notícia é que já existem plataformas específicas que lidam com os desafios de segurança atuais.OpenZeppelin é o exemplo perfeito. Seu papel em todo o ecossistema é proteger contratos inteligentes e plataformas DeFi como um todo.
Além dos recursos inteligentes de auditoria de contratos, soluções como oDefender Sentinels fornecem proteção contínua contra ataques de empréstimos flash. Os desenvolvedores podem usar a ferramenta para automatizar suas estratégias de defesa, pausar rapidamente sistemas inteiros e implantar correções.
Esse tipo de resposta rápida é essencial para mitigar os possíveis danos que um ataque de empréstimo flash pode incorrer.
Grandes jogadores, como Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether e muitos outros, já estão usando a plataforma para neutralizar ataques em seus sistemas.
Quando tudo está funcionando como pretendido, os empréstimos flash são totalmente isentos de riscos. O mutuário e o credor podem se beneficiar da transação se atenderem a todas as condições do contrato inteligente.
Do ponto de vista do credor, ele nunca está distribuindo dinheiro. É tudo artificial e se torna parte das informações do blockchain se o mutuário tomar todas as medidas necessárias. Se o mutuário for o padrão, a mesma transação será simplesmente rejeitada.
O credor ainda tem seus fundos, e o mutuário não deve dinheiro a ninguém.
Por outro lado, o mutuário só pode lucrar. Eles podem usar os fundos emprestados para lucrar com uma arbitragem no mercado de cripto. Se a transação cair, o dinheiro simplesmente volta para o credor.
Idealmente, o design do sistema garante empréstimos instantâneos e sem riscos. No entanto, para garantir que tudo esteja livre de riscos, contratos inteligentes precisam cobrir todos os detalhes da transação. Dessa forma, não há susceptibilidades para os invasores explorarem.
Portanto, quando se trata de empréstimos flash, os maiores riscos que atualmente afetam o ecossistema DeFi são vazamento de dados, além de bugs de contratos inteligentes que permitem esses ataques.
Embora as coisas não pareçam perfeitas agora, com o tempo, esses sistemas acabarão se tornando seguros. Com plataformas como Chainlink e OpenZeppelin, os ataques de empréstimos flash provavelmente se tornarão parte da história.
Os empréstimos flash são outra grande adição ao ecossistema DeFi. Embora atualmente estejam propensos a atacar, a maré virará no futuro.
À medida que os desenvolvedores escrevem contratos inteligentes melhores e mais sistemas implementam ferramentas de segurança e oráculos descentralizados para precificação, veremos um número decrescente de ataques provenientes de hackers.
Se você está pensando se os empréstimos flash são um bom investimento, acreditamos que a resposta é sim. Lembre-se, há sempre pelo menos um baixo risco de um ataque de empréstimo flash, então use cuidadosamente suas criptomoedas ao emprestar em plataformas DeFi.
Sem spams. Apenas muito conteúdo de qualidade e atualizações sobre o mundo cripto.