Що таке атака флеш-позики та як її попередити?

З моменту розвитку децентралізованого фінансування (DeFi) люди спостерігають за криптовалютою та використовують її, особливо з незалежними фінансовими платформами, що пропонують різні типи криптовалютного кредитування, що, у свою чергу, надає значну вартість як позичальникам, так і позикодавцям.

Одним із таких типів позики, що зросла популярністю вDeFiecosystem, є флеш-кредит, оскільки він дозволяє позичальникам швидко скористатися можливостями арбітражу. Вона надає запозичені кошти для купівлі криптоактиву, його продажу, повернення позики та отримання прибутку.

На жаль, хоча ідея відмінна й добре працює, є ті, хто використовує цю форму кредитування. Продовжуйте читати, щоб дізнатися більше про спалахові атаки на позики та про те, як запобігти їм.

Що таке «спалахова позика»?

Спалахована кредитна атака — це зловживання забезпеченням смарт-контрактів конкретної платформи, на якій нападник зазвичай позичає багато коштів, які не потребують застави. Потім вони маніпулюють ціною криптоактиву на одній біржі та швидко перепродають його на іншій.

Процес швидкий, і нападник повторює процес кілька разів, перш ніж завершити та залишити без сліду.

Що таке флеш-кредит?

Розвиток кредитного простору DeFi зробив криптовалютне кредитування дуже популярним. Оскільки вони використовують повну потужність наявних технологій, флеш-кредити стали дуже привабливою формою кредитування.

Термін «спалахова позика» описує, коли позичальник бере позику без необхідності застави. Ви можете задатися питанням: Як це можливо? За допомогою інтелектуального контракту платформи весь процес кредитування та повернення відбувається в межах однієї транзакції в блокчейні.

Це означає, що позичальник повинен швидко діяти та повернути позику протягом короткого часу. Якщо позикодавець якимось чином дефолтує, вся транзакція скасовується так, ніби нічого не сталося.

Принцип простий і дуже практичний. На відміну від традиційних забезпечених позик, для обробки незабезпеченої позики вам не потрібно мати заставу, кредитний рейтинг або адміністрування. Ви можете отримати велику кількість стейблкоїну за лічені секунди й використати її так само швидко.

Ось що роблять деякі трейдери на різних платформах DeFi. Наприклад, користувачі можуть отримати такі позики, використовувати кошти в арбітражній нагоді, надати позику та зберегти прибуток.

Процес позики та кредитування автоматизований, і коли все працює, як позикодавець, так і позичальник отримують вигоду від позики. Якщо щось піде не так, транзакцію буде скасовано, і ніхто зі сторін не отримає прибутку.

Чи часто виникають шахрайські атаки на позики?

Зважаючи на те, як технологія все ще розвивається, зараз поширені спалахові кредитні атаки DeFi. Наразі для викрадення величезних сум використали понад 70 видів використання DeFi, щоб отримати приблизно 1,5 мільярда доларів. Тенденція, швидше за все, продовжиться в наступні роки, тому що небезпечне виконання платформи є складним завданням.

Перша проблема пов’язана з неможливістю розробника охопити всі можливі недоліки, оскільки технологія блокчейну є досить новою. Іншою проблемою є швидка розробка систем, і в кожному з цих проєктів багато грошей. Ставки високі, і багато розробників намагаються знайти різні способи пошуку помилок у системі. Деякі зловмисники, що атакують кредити, використовують неправильні обчислення пулів ліквідності. Ще інші — це майнірні атаки або помилки в кодуванні.

На жаль, все, що робить можливим, також є слабкістю. 

Проблема смарт-контрактів полягає в тому, що вони мають повний контроль над протоколами DeFi. Після того, як зловмисники розуміють, як вони працюють детально, вони можуть маніпулювати недоліками контракту та використовувати їх на свою користь.

Це означає, що безпека DeFi — це тонкий баланс: майстерність творця контрактів протоколу з одного боку та хакер з іншого.

Інша вразливість зводиться до даних про ціни платформи. Оскільки в усьому світі існує багато бірж, знайти одну справжню ціну криптовалютних цифрових активів практично неможливо. Ця різниця в ціні робить арбітражну торгівлю привабливою. Наступні ринки — це чудовий спосіб отримати прибуток через законні коливання цін. Однак спалахові атаки на позики маніпулюють цінами та використовують раптову зміну в них. 

Коли нападник отримує флеш-кредит, він створює штучний продаж, що спричиняє різке падіння ціни криптоактиву.

На щастя, уже існують системи для запобігання такому зловживанню неконлатеральними позиками. Ми доторкнемося до цього одразу після того, як розглянемо кілька прикладів флеш-атак на позики.

Приклади флеш-атаки позики

На сьогоднішній день десятки випадків спалахових атак на позику. Ось лише деякі з найбільших.

Кремові фінанси

У 2021 році фінанси C.R.E.A.M. неодноразово атакували. Один із найбільших капітанів включав $130 млн. Винуватці вкрали токени ліквідності CREAM на мільйони доларів за нерозкритий період часу. Усі збитки видноon-chain, і винуватців ще не спіймали.

На щастя, лабіринт був лише частиною системи DeFi Cream, оскільки платформа їхнього партнера, що об’єднався, Yearn Finance, залишалася безпечною. Як і більшість хакерів протоколу DeFi, зловмисники використовували кілька флеш-кредитів і маніпулювали ціноутворенням теоракули.

За допомогою команди Рока платформа швидко вплинула на вразливість.

Альфа-гомора

У лютому 2021 року злам протоколу Alpha Homora призвело до втрати в розмірі $37 млн. Атакатор флеш-кредитів також використовував залізний банк C.R.E.A.M. Finance через низку флеш-кредитів. Залізний банк є кредитною групою протоколу Alpha Homora. 

Хакери кілька разів повторювали процес, доки вони не накопичили CreamY USD (або cyUSD), а потім використовували токени для позики інших криптовалют. Хак був досить складним і включав численні кроки. По суті, нападник сильно маніпулював фондом sUSD HomoraBank версії 2.

Вони здійснили низку трансакцій і флеш-кредитів, що дозволило їм зловживати протоколом кредитування між HomoraBank версії 2 та залізним банком. Ви можете дізнатися більше про атаку Альфа-гомора після іртемії, щоб дізнатися, що зробили хакери.

Крім того, вони використовували помилковий розрахунок розрахунків позик у ситуаціях, коли є один позичальник. 

dYdX

Є випадки, коли ігри потребують правильного часу та маніпуляції з цінами. Так було з експлуатацією dYdX на початку 2020 року. Нападник використав платформу для отримання флеш-кредиту, а потім розділив кошти та використав їх на двох торгових платформах — Fulcrum і Compound.

Перша частина була використана на Fulcrum в обмін з ETH на WBTC. У процесі мережа Kyber отримала ордер через DEX Uniswap. Приваблення полягало в тому, що низька ліквідність Uniswap знизила ціну WBTC на неймовірно високу.

Одночасно нападник використав другу частину позики на платформі «Співалютні» для отримання флеш-кредиту WBTC. Коли ціна зросла на Uniswap, нападник швидко здійснив біржу та значний незаконний прибуток.

PancakeBunny

У травні 2021 року хакер підводить платформу PancakeBunny на випробування, вкравши близько $3 млн. Уперше хакер скористався PancakeSwap, щоб отримати великий BNB-кредит. Під час атаки хакер маніпулював торговими парами BUNNY/BNB і USDT/BNB.

Після цього великий флеш-кредит надав хакеру величезну кількість токенів BUNNY, які він негайно скинув, сплатив BNB і зник з прибутком. Уся ордерна угода призвела до шокуючого падіння ціни PancakeBunny з $146 до $6,17.

Як запобігти атакі на флеш-кредити?

Оскільки все більше атак відбувається, експерти з безпеки дізнаються більше про різні типи використання флеш-кредитів. Усі вразливості у згаданих вище прикладах були виправлені, і їхня поява привела до народження двох популярних рішень.

Децентралізовані ціни Oracles

Оскільки більшість спалахових атак на позики залежать від маніпуляцій з ціною, необхідно протистояти цьому підходу за допомогою децентралізованих цінових оракулів. Хорошими прикладами єChainlinkandBand Protocol. Ці платформи зберігають усі протоколи, представляючи точні ціни різних криптовалют.

Наприклад, атаки DeFi на dYdX неможливі, оскільки протоколи не отримують свою ціну з одногоDEX.

Alpha Homora тепер використовує агрегатор Alpha Oracle, щоб запобігти повторенню історії. Ми побачимо більше подібних систем, оскільки розмір ринкуDeFi продовжує зростати.

Реалізація платформ безпеки DeFi

Екосистема DeFi використовує передові технології, які змінюють погляди міжнародних фінансових систем. Цей вид уваги створює великий тягар для всієї системи.

Хороша новина полягає в тому, що вже є конкретні платформи, які вирішують поточні проблеми безпеки.OpenZeppelinis — ідеальний приклад. Його роль у всій екосистемі — захист смарт-контрактів і платформ DeFi в цілому.

Окрім можливостей перевірки смарт-контрактів, такі рішення, як відправник Sentinels, забезпечують постійний захист від атак на флеш-кредити. Розробники можуть використовувати цей інструмент для автоматизації своїх стратегій захисту, швидкого призупинення цілих систем і розгортання виправлень.

Така швидка відповідь має важливе значення для зменшення можливої шкоди, яку може зазнати флеш-атака позики.

Великі гравці, як-от Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether та багато інших, вже використовують платформу для нейтралізації атак на свої системи.

Чи є шахрайські позики без ризику?

Коли все працює належним чином, флеш-кредити повністю не пов’язані з ризиком. Позичальник і позикодавець можуть отримати вигоду від транзакції, якщо вони відповідають усім умовам смарт-контрактів.

З точки зору позикодавця, він ніколи не розплачується грошима. Це все штучно і стає частиною інформації про блокчейн, якщо позичальник вживе всіх необхідних заходів. Якщо позичальник за замовчуванням, ту саму транзакцію просто відхиляється.

Кредитор все ще має свої кошти, і позичальник нікому не заборгував грошей.

З іншого боку, позичальник може отримати лише прибуток. Вони можуть використовувати запозичені кошти для отримання прибутку від арбітражу на ринку криптовалют. Якщо трансакція пройшла, гроші просто повертаються позикодавцю.

В ідеалі дизайн системи забезпечує безризикові, миттєві позики та кредитування. Однак, щоб все було безризиково, смарт-контракти повинні охоплювати всі деталі трансакції. Так, зловмисники не можуть використовувати їх.

Отже, коли йдеться про флеш-кредити, найбільшими ризиками, які наразі бродять екосистемою DeFi, є витоки даних, а також помилки в смарт-контрактах, які дозволяють ці атаки.

Незважаючи на те, що зараз все не виглядає ідеально, з часом ці системи зрештою стають захищеними. Завдяки таким платформам, як Chainlink і OpenZeppelin, спалахові атаки на позики, швидше за все, стануть частиною історії.

Підсумки

Флеш-кредити — ще одне значне доповнення до екосистеми DeFi. Хоча наразі вони схильні атакувати, tide зміниться в майбутньому. 

Оскільки розробники пишуть кращі смарт-контракти, а більше систем використовують інструменти безпеки та децентралізовані оракли для ціноутворення, ми побачимо зменшення кількості атак, що виникають від хакерів.

Якщо ви думаєте про те, чи є флеш-кредити хорошою інвестицією, ми вважаємо, що відповідь «так». Пам’ятайте, що завжди існує принаймні низький ризик спалахової кредитної атаки, тому обережно використовуйте свої криптовалюти, коли позичаєте їх на платформах DeFi.

Хочете дізнатися більше про кредитування DeFi? Ви можете знайти всі деталі в докладному путівнику в нашому блозі.