Краткий пересказ
Еще
Узнавайте содержание статьи и оценивайте рыночные настроения всего за 30 секунд!
С момента развития децентрализованного финансирования (DeFi) взгляды и использование криптовалют значительно изменились, особенно если независимые финансовые платформы предлагают различные типы криптокредитования, что, в свою очередь, приносит большую пользу как заёмщикам, так и кредиторам.
Одним из таких типов займов, которые резко выросли в популярности вDeFiecosystem, является мгновенный заём, поскольку он позволяет заёмщикам быстро получать прибыль от арбитражных сделок. Он предоставляет заёмные средства для покупки криптоактива, его продажи, возврата займа и получения прибыли.
К сожалению, хотя идея отличная и работает хорошо, есть те, кто использует эту форму кредитования. Читайте дальше, чтобы узнать больше об атаках на быстрые займы и о том, как их предотвратить.
Атака на быстрые займы — это злоупотребление безопасностью смарт-контрактов на определённой платформе, на которой злоумышленник обычно забирает много средств, не требуя обеспечения. Затем они манипулируют ценой криптоактива на одной бирже и быстро перепродают его на другой.
Процесс происходит быстро, и злоумышленник повторяет процесс несколько раз, прежде чем завершить и уйти без следов.
Разработка пространства для кредитования DeFi сделала криптокредитование очень популярным. Поскольку они используют всю мощь доступных в настоящее время технологий, мгновенные займы стали очень привлекательной формой кредитования.
Термин «быстрый заём» означает, что заёмщик получает заём без обеспечения. Возможно, вы задаетесь вопросом: Как это возможно? Используя смарт-контракт платформы, весь процесс кредитования и возврата происходит в рамках одной транзакции на блокчейне.
Это означает, что заёмщик должен действовать быстро и вернуть заём в течение короткого времени. Если кредитор каким-либо образом уклоняется, вся транзакция аннулируется, как если бы ничего не произошло.
Принцип прост и очень практичн. В отличие от традиционных обеспеченных займов, для обработки не обеспеченного займа не требуется обеспечение, кредитный рейтинг или управление. Вы можете за считанные секунды забрать большое количество стейблкоина и использовать его в своих интересах.
Вот что делают некоторые трейдеры на различных DeFi-платформах. Например, Aaveuser могут получить такие займы, использовать средства в арбитражных целях, вернуть заём и сохранить прибыль.
Процесс займа и займа автоматизирован, и когда всё получится, кредитор и заёмщик извлекают выгоду из займа. Если что-то пойдёт не так, транзакция отменяется, и ни одна из сторон не получает прибыли.
Учитывая, как технология продолжает развиваться, в настоящее время часто происходят атаки на займы на флеш-память DeFi. В настоящее время для кражи огромных сумм было использовано более 70 DeFi эксплойтов, что составляет около $1,5 млрд. Скорее всего, в ближайшие годы эта тенденция продолжится, поскольку сделать безопасность платформы непроницаемой — сложная задача.
Первая проблема заключается в невозможности разработчика устранить все возможные недостатки, поскольку технология блокчейна является довольно новой. Ещё одна проблема заключается в том, что системы разрабатываются быстро, и в каждом из этих проектов есть много денег. Стейкинг высок, и многие разработчики используют разные способы поиска ошибок в системе. Некоторые злоумышленники используют неверные расчёты пулов ликвидности. Тем не менее, другие — это атаки майнеров или ошибки в кодировании.
К сожалению, всё, что делает возможным, также является слабым.
Сложность смарт-контрактов заключается в том, что они полностью контролируют протоколы DeFi. Как только злоумышленники поймут, как они работают, они могут манипулировать недостатками контракта и использовать их в своих интересах.
Это означает, что безопасность DeFi — это нежный баланс: умение создателя контракта протокола с одной стороны и хакера с другой.
Ещё одна уязвимость сводится к ценовым данным платформы. Поскольку во всем мире существует множество бирж, найти одну истинную цену на криптовалютные цифровые активы практически невозможно. Такая разница в ценах делает трейдинг привлекательным. Подписка на рынки — это отличный способ заработать прибыль из-за законных колебаний цен. Тем не менее, атаки на быстрые займы манипулируют ценами и используют внезапные изменения в них.
Когда злоумышленник получает флэш-кредит, он создает искусственную продажу, что приводит к резкому падению цены криптоактива.
К счастью, уже существуют системы, позволяющие предотвратить такое злоупотребление займами без обеспечения. Мы рассмотрим эту тему сразу после изучения нескольких примеров атак на быстрые займы.
До сих пор было десятки случаев атак на быстрые займы. Вот лишь некоторые из самых крупных.
В 2021 году C.R.E.A.M. Finance неоднократно подвергалась атакам. Один из крупнейших гистов занял $130 миллионов. Виновники украли токены ликвидности CREAM на сумму миллионов долларов в течение нераскрытого периода времени. Все убытки являются визуальными, а виновники ещё не пойманы.
К счастью, петля была лишь частью DeFi-системы компании Cream, поскольку платформа их партнёра по слиянию, Yearn Finance, оставалась безопасной. Как и в большинстве случаев взломов протоколов DeFi, злоумышленники использовали несколько флэш-кредитов и манипулировали ценой теоракле.
С помощью команды Yearn платформа быстро исправила уязвимость.
В феврале 2021 года взлом протокола Alpha Homora привел к потере $37 миллионов. Злоумышленник также использовал Iron Bank от C.R.E.A.M. Finance через ряд флэш-займов. Железный банк — это кредитное плечо протокола Alpha Homora.
Хакеры повторяли этот процесс несколько раз, пока не накопили CreamY USD (или cyUSD), а затем использовали токены для займа других криптовалют. Взлом был довольно сложным и предусматривал множество шагов. По сути, злоумышленник манипулировал sUSD-пулом HomoraBank v2.
Они совершили ряд транзакций и займов, что позволило им злоупотребить протоколом кредитования между HomoraBank v2 и Iron Bank. Чтобы узнать больше о действиях хакеров, можно изучить атаку Альфа Хомора после мортемина.
Кроме того, в ситуациях, когда есть один заёмщик, он использовал округление расчётов займов.
Существуют случаи, когда для игры в протоколы требуется правильное время и манипулирование ценами. Это произошло с эксплойтом dYdX в начале 2020 года. Злоумышленник использовал платформу для получения займа, затем разделил средства и использовал их на двух торговых платформах — Fulcrum и Compound.
Первая часть была использована на Fulcrum в обмен на ETH и WBTC. В процессе этого Kyber Network получила ордер через DEX Uniswap. Поймать, что низкая ликвидность Uniswap привела к невероятно высокой цене WBTC.
В то же время злоумышленник использовал вторую часть займа на платформе Compound для получения флэш-кредита WBTC. По мере роста цены на Uniswap злоумышленник быстро заработал биржу и получил значительную незаконную прибыль.
В мае 2021 года хакер протестировал платформу PancakeBunny, воровав около $3 млн. Хакер сначала использовал PancakeSwap, чтобы получить большой заём BNB. Во время атаки хакер манипулировал торговыми парами BUNNY/BNB и USDT/BNB.
После этого большой флэш-кредит предоставил хакеру огромную сумму токенов BUNNY, которые он немедленно сбросил, выплатив BNB и исчезнув с прибыли. Весь объём привел к шокирующему падению цены PancakeBunny с $146 до $6,17.
По мере роста числа атак эксперты по безопасности узнают больше о различных эксплойтах по займам на основе флеш-память. Все уязвимости в указанных выше примерах были исправлены, и их появление привело к появлению двух популярных решений.
Поскольку большинство быстрых займов зависят от манипуляций ценами, необходимо противодействовать этому подходу децентрализованными ценовыми орлаками. Хорошими примерами являютсяChainlinkandBand Protocol. Эти платформы обеспечивают безопасность всех протоколов, представляя точную цену на различные криптовалюты.
Например, DeFi-атаки, подобные случившимся с dYdX, будут недоступны из-за того, что протоколы не получат свою ценовую ленту от одногоDEX.
Теперь Alpha Homora использует Alpha Oracle Aggregator, чтобы предотвратить повторение истории. По мере роста размера рынка DeFi мы увидим больше подобных систем.
В экосистеме DeFi используются передовые технологии, которые меняют перспективы международных финансовых систем. Такое внимание оказывает большое бремя на всю систему.
Хорошая новость заключается в том, что существуют уже определённые платформы, которые решают текущие проблемы безопасности.OpenZeppelin — идеальный пример. Его роль во всей экосистеме заключается в защите смарт-контрактов и DeFi-платформ в целом.
Помимо возможностей аудита смарт-контрактов, такие решения, какСентинели Defender, обеспечивают постоянную защиту от атак на быстрые займы. Разработчики могут использовать этот инструмент для автоматизации своих стратегий защиты, быстрой приостановки целых систем и развертывания исправлений.
Такая быстрая реакция необходима для снижения возможных убытков, которые может понести атака на быстрые займы.
Такие крупные игроки, как Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether и многие другие, уже используют платформу для нейтрализации атак на свои системы.
Когда всё работает должным образом, быстрые займы абсолютно без риска. Заёмщик и кредитор могут получить выгоду от транзакции, если они выполнят все условия смарт-контракта.
С точки зрения кредитора, они никогда не раздают никаких денег. Если заёмщик предпримет все необходимые шаги, он станет частью информации о блокчейне. Если заёмщик по умолчанию, то одна и та же транзакция просто отклоняется.
У кредитора по-прежнему есть средства, и заёмщик никому не должен ничего платить.
С другой стороны, заёмщик может получить только прибыль. Они могут использовать заёмные средства для получения прибыли от арбитража на криптовалютном рынке. Если транзакция прошла, деньги просто возвращаются кредитору.
В идеале конструкция системы обеспечивает безрисковые мгновенные займы и кредитование. Однако чтобы гарантировать, что все транзакции являются безрисковыми, смарт-контракты должны охватывать все детали транзакции. Таким образом, злоумышленники не могут использовать эти средства.
Таким образом, когда речь заходит о флэш-займах, самыми большими рисками, которые в настоящее время нарушают экосистему DeFi, являются утечка данных, а также ошибки в смарт-контрактах, которые позволяют совершать эти атаки.
Хотя в настоящее время всё не выглядит идеально, со временем эти системы в конечном итоге станут безопасными. Такие платформы, как Chainlink и OpenZeppelin, вероятно, станут частью истории.
Флэш-кредиты — это ещё одно отличное дополнение к экосистеме DeFi. Хотя в настоящее время они склонны к атакам, прилив повернётся в будущем.
Поскольку разработчики пишут смарт-контракты лучше, а все больше систем разворачивают инструменты безопасности и децентрализованные оракулы для ценообразования, мы увидим, как уменьшается количество атак со стороны хакеров.
Если вы думаете о том, являются ли быстрые займы хорошей инвестицией, мы считаем, что ответ положительный. Помните, что всегда существует по крайней мере низкий риск быстрой атаки на займы, поэтому при предоставлении займов на DeFi-платформах необходимо внимательно использовать криптовалюты.
Никакого спама. Только куча интересного контента и обновлений индустрии криптовалют.