Ako sa bleskové pôžičky používajú na manipuláciu kryptotrhu

Podľa nedávnej správy sú bleskové pôžičkové útoky na vzostupe. Aké sú a aké sú riziká?

Predstavte si, že by ste si mohli zobrať úver takmer neobmedzenej veľkosti bez toho, aby ste museli zložiť záruku. Má to len jeden háčik. Musíte to vrátiť takmer okamžite. Znie to zvláštne? Pravdepodobne áno. Ale presne taká je blesková pôžička. Ako už názov napovedá, tieto pôžičky sa realizujú takmer okamžite. (Myslite na superhrdinu DC Comic, The Flash, ktorý dokáže cestovať rýchlosťou svetla.)

Nedávna správa De.Fi naznačuje, že bleskové pôžičky sú na vzostupe a zlí aktéri ich využívajú na čoraz väčší počet exploitov. V 1. štvrťroku tohto roka sa týmto štýlom využívania stratilo 200 miliónov dolárov. 

Ale prečo by si niekto chcel vziať takmer okamžitú pôžičku? No, ako veľa vecí v kryptomenách, aj tu ide o dobré výnosy.

Bleskové pôžičky a bleskové pôžičkové útoky vysvetlené

Logika bleskových pôžičiek sa opiera o arbitráž, proces využívania malých cenových rozdielov. Na rozdiel od iných druhov pôžičiek si bleskové pôžičky nevyžadujú zdĺhavý schvaľovací proces, takže môžu byť rýchlo zrealizované. „Vzhľadom na nízke poplatky spojené s pôžičkou na jednu transakciu existuje obrovský potenciál pre vysoké výnosy,“ vysvetlil Artem Bondarenko, softvérový architekt v De.Fi, v rozhovore pre BeInCrypto. „Pre veriteľov bleskovej pôžičky neexistujú žiadne riziká, pretože pôžička sa okamžite vráti. V opačnom prípade transakcia zlyhá."

V tradičných financiách neexistuje nič presne ako blesková pôžička. Je to podobné ako call opcia, ale s niektorými významnými rozdielmi. Pri bleskovej pôžičke môžete požičané peniaze použiť hneď, pri call opcii si musíte počkať. V tradičných financiách sa transakcie zvyčajne uskutočňujú po jednej, zatiaľ čo pri bleskových pôžičkách sa dejú v blokoch. Tieto krátkodobé nástroje však nie sú úplne bez mínusov, ako sa uvádza v správe De.Fi.

„K bleskovému pôžičkovému útoku dochádza, keď si niekto dokáže požičať obrovskú sumu na jednom mieste a použiť ju na manipuláciu s cenami nákupom alebo predajom vo veľkých množstvách, čím ovplyvní cenu aktíva,“ povedal Bondarenko. "Potom túto zmenu ceny využijete na využitie opačného nákupu alebo predaja na druhej strane, čím sa vytvorí arbitráž medzi cenami na dvoch miestach, potom sa splatí pôvodná pôžička a rozdiel sa strhne do vrecka."

"Ak je protokol o likvidite správne navrhnutý so správnymi cenovými orákulami, nemal by to byť problém, ale v prípadoch, keď je návrh zlý, je to zraniteľnosť, ktorú možno využiť a viesť k hromadnej likvidácii," dodal Bondarenko.

Kto sú obete?

Flash pôžičky sú pre útočníkov atraktívne, pretože umožňujú požičať si veľké sumy kryptomien bez poskytnutia kolaterálu. Na zabránenie takýmto útokom je možné implementovať lepšie bezpečnostné opatrenia, ako sú audity kódu a robustný návrh inteligentných zmlúv, a v rámci ekosystému DeFi je možné zvýšiť povedomie o možných vektoroch útokov.

13. marca bol napadnutý Euler Finance, známy pôžičkový protokol založený na Ethereu, a útočník ukradol rôzne kryptomeny v hodnote miliónov dolárov, ako sú Dai, USDC, Staked Ethereum a Wrapped Bitcoin, vykonaním viacerých transakcií. 

Celková ukradnutá suma bola takmer 196 miliónov dolárov, pričom 8.7 milióna dolárov v Dai, 18.5 milióna dolárov vo WBTC, 135.8 milióna dolárov v StETH a 33.8 milióna dolárov v USDC. 

Útočník presunul ukradnuté prostriedky z Binance Smart Chain do Etherea pomocou multireťazcového mosta a potom vykonal útok na bleskovú pôžičku. Ukradnuté prostriedky vložili do Tornado Cash, známeho mixéra kryptomien, aby skomplikovali úsilie o vymáhanie a zakryli svoju identitu.

Mesiac predtým, 16. februára, spoločnosť Platypus Finance, tvorca automatizovaného trhu, utrpela samostatný bleskový úverový útok. Útočník ukradol stablecoiny v hodnote 8,500,887 XNUMX XNUMX dolárov vrátane USDC, USDT, BUSD a DAI. 

V tomto prípade útočník využil zraniteľnosť v mechanizme kontroly solventnosti USP. V tomto procese si útočník zabezpečil bleskovú pôžičku vo výške 44,000,000 44,000,000 41,700,000 USDC a potom ju vymenil za XNUMX XNUMX XNUMX Platypus LP-USD. Potom vyťažili XNUMX XNUMX XNUMX USP tokenov bez nákladov, ktoré boli vymenené za rôzne stablecoiny. 

Platypus Finance spolupracuje so službami tretích strán na zmrazení ukradnutých aktív a niektoré už boli zmrazené. Škodlivý kontrakt bol odstránený a boli implementované dodatočné bezpečnostné opatrenia, aby sa zabránilo budúcim útokom. Útočníkovi sa však podarilo časť ukradnutých financií previesť.

Ako znížiť riziká?

Jedným zo spôsobov sú Flash pôžičky jedným z veľkých vyrovnávačov kryptomien. Umožňujú obchodníkom s menším kapitálom zapojiť sa do obchodov s vysokou odmenou, ktoré by boli zvyčajne otvorené len pre takzvané veľryby. „Ale ako sme už mnohokrát videli, bleskové pôžičky tiež predstavujú veľké riziko pre protokoly DeFi, ktoré takéto veci nezohľadňujú,“ povedal pre BeInCrypto Adrian Hetman, technický vedúci tímu triedenia v Immunefi.

„Protokoly by sa nemali chrániť len pred možnými útokmi s podporou flash pôžičky, ale aj pred útokmi veľrýb, tj čo by sa stalo, keby veľkí hráči zrazu použili svoje obrovské prostriedky na používanie nášho protokolu? Správal by sa systém podľa plánu? Aký je náš „zamýšľaný“ obchodný tok?“ Hetman pokračoval. "Modelovanie hrozieb by pomohlo odhaliť potenciálne slabé stránky systému."

„Pomocou časovo váženej priemernej ceny (TWAP) môžu oracles pomôcť minimalizovať cenovú manipuláciu spriemerovaním cien za určité časové obdobie, čo útočníkom sťaží manipuláciu s cenami v jednej transakcii. Okrem toho, implementácia multi-oracle systémov môže poskytnúť redundanciu a krížovú kontrolu cenových údajov, čím sa ďalej posilní ochrana proti manipulácii,“ dodal Hetman.

Implementáciou ističov je možné zabrániť útočníkom na bleskové pôžičky profitovať zo zmanipulovaných cien, keď sa zistia výrazné cenové výkyvy, vysvetlil Hetman. „Akonáhle je príčina cenového výkyvu identifikovaná a vyriešená, obchodovanie môže pokračovať. Toto musí zahŕňať potenciálne platné obchody, ktoré sa môžu zdať podozrivé iba zvonku.“

„Je tiež dôležité nedovoliť, aby sa veľké akcie protokolu diali iba v jednom bloku. Flash pôžičky sa väčšinou dajú zobrať len v jednej transakcii na jeden blok,“ dodal Hetman.