Jak pożyczki błyskawiczne są wykorzystywane do manipulowania rynkiem kryptowalut

Według niedawnego raportu liczba ataków na pożyczki błyskawiczne rośnie. Czym one są i jakie są zagrożenia?

Wyobraź sobie, że możesz wziąć pożyczkę o prawie nieograniczonej wielkości bez żadnych zabezpieczeń. Jest tylko jeden haczyk. Musisz go spłacić niemal natychmiast. Brzmi dziwnie? Prawdopodobnie tak. Ale tym właśnie jest pożyczka błyskawiczna. Jak sama nazwa wskazuje, pożyczki te odbywają się niemal natychmiast. (Pomyśl o superbohaterze DC Comic, Flashu, który może podróżować z prędkością światła).

Niedawny raport De.Fi sugeruje, że rośnie liczba pożyczek flash, a przestępcy wykorzystują je w coraz większej liczbie exploitów. W pierwszym kwartale tego roku w wyniku tego typu exploitów utracono 1 milionów dolarów. 

Ale dlaczego ktoś miałby chcieć zaciągnąć niemal natychmiastową pożyczkę? Cóż, podobnie jak wiele rzeczy w kryptowalutach, sprowadza się to do dobrych zwrotów.

Pożyczki błyskawiczne i ataki na pożyczki błyskawiczne wyjaśnione

Logika szybkich pożyczek opiera się na arbitrażu, procesie wykorzystywania niewielkich różnic cenowych. W przeciwieństwie do innych rodzajów pożyczek, pożyczki błyskawiczne nie wymagają długiego procesu zatwierdzania, dzięki czemu można je szybko zrealizować. „Biorąc pod uwagę niskie opłaty związane z pożyczką na jedną transakcję, istnieje ogromny potencjał wysokich zwrotów” – wyjaśnił Artem Bondarenko, architekt oprogramowania w De.Fi, w wywiadzie dla BeInCrypto. „Dla wierzycieli pożyczki błyskawicznej nie ma ryzyka, ponieważ pożyczka jest zwracana od razu. W przeciwnym razie transakcja nie powiedzie się”.

W tradycyjnych finansach nie ma nic dokładnie takiego jak pożyczka błyskawiczna. Jest podobna do opcji kupna, ale z pewnymi istotnymi różnicami. W przypadku pożyczki błyskawicznej pożyczone pieniądze można wykorzystać od razu, natomiast w przypadku opcji call trzeba poczekać. Ponadto w tradycyjnych finansach transakcje zwykle odbywają się pojedynczo, podczas gdy w przypadku pożyczek błyskawicznych mają miejsce w blokach. Jednak te krótkoterminowe instrumenty nie są całkowicie pozbawione wad, jak nakreślono w raporcie De.Fi.

„Atak błyskawicznej pożyczki ma miejsce, gdy ktoś jest w stanie pożyczyć ogromną kwotę w jednym miejscu i użyć jej do manipulowania cenami poprzez kupowanie lub sprzedawanie w dużych ilościach, wpływając w ten sposób na cenę aktywów” – powiedział Bondarenko. „Następnie wykorzystując tę ​​zmianę ceny do wykorzystania przeciwnego kupna lub sprzedaży po drugiej stronie, tworząc arbitraż między cenami w dwóch miejscach, a następnie spłacając pierwotną pożyczkę i wkładając różnicę do kieszeni”.

„Jeśli protokół płynności jest odpowiednio zaprojektowany z odpowiednimi wyroczniami cenowymi, nie powinno to stanowić problemu, ale w przypadkach, gdy projekt jest słaby, jest to luka, którą można wykorzystać i doprowadzić do masowej likwidacji” — dodał Bondarenko.

Kim są ofiary?

Pożyczki błyskawiczne są atrakcyjne dla atakujących, ponieważ umożliwiają pożyczanie dużych sum kryptowaluty bez zapewniania zabezpieczenia. Aby zapobiec takim atakom, można wdrożyć lepsze środki bezpieczeństwa, takie jak audyty kodu i solidny inteligentny projekt kontraktu, a także zwiększyć świadomość potencjalnych wektorów ataków w ekosystemie DeFi.

13 marca Euler Finance, dobrze znany protokół pożyczkowy oparty na Ethereum, został zhakowany, a atakujący ukradł różne kryptowaluty o wartości milionów dolarów, takie jak Dai, USDC, Staked Ethereum i Wrapped Bitcoin, wykonując wiele transakcji. 

Całkowita skradziona kwota wyniosła prawie 196 mln USD, z czego 8.7 mln USD w Dai, 18.5 mln USD w WBTC, 135.8 mln USD w StETH i 33.8 mln USD w USDC. 

Atakujący przeniósł skradzione środki z Binance Smart Chain do Ethereum za pomocą mostu wielołańcuchowego, a następnie przeprowadził atak pożyczki błyskawicznej. Zdeponowali skradzione środki w Tornado Cash, dobrze znanym mikserze kryptowalut, aby skomplikować działania naprawcze i ukryć swoją tożsamość.

Miesiąc wcześniej, 16 lutego, Platypus Finance, automatyczny animator rynku, padł ofiarą osobnego ataku na pożyczkę błyskawiczną. Atakujący ukradł stablecoiny o wartości 8,500,887 XNUMX XNUMX USD, w tym USDC, USDT, BUSD i DAI. 

W tym przypadku atakujący wykorzystał lukę w mechanizmie sprawdzania wypłacalności USP. W trakcie ataku atakujący uzyskał błyskawiczną pożyczkę w wysokości 44,000,000 44,000,000 41,700,000 USDC, a następnie zamienił ją na XNUMX XNUMX XNUMX Platypus LP-USD. Następnie bez żadnych kosztów wybili XNUMX XNUMX XNUMX tokenów USP, które zostały wymienione na różne stablecoiny. 

Platypus Finance współpracuje z zewnętrznymi usługami w celu zamrożenia skradzionych aktywów, a niektóre zostały już zamrożone. Złośliwa umowa została usunięta i wdrożono dodatkowe środki bezpieczeństwa, aby zapobiec przyszłym atakom. Atakującemu udało się jednak przelać część skradzionych środków.

Jak zmniejszyć ryzyko?

W pewnym sensie pożyczki błyskawiczne są jednym z wielkich korektorów kryptowalut. Pozwalają handlowcom z mniejszym kapitałem angażować się w transakcje o wysokich zyskach, które zwykle byłyby otwarte tylko dla tak zwanych wielorybów. „Ale jak widzieliśmy wiele razy, pożyczki flash stanowią również duże ryzyko dla protokołów DeFi, które nie uwzględniają takich rzeczy”, powiedział BeInCrypto Adrian Hetman, kierownik techniczny zespołu triaging w Immunefi.

„Protokoły nie tylko powinny chronić się przed możliwymi atakami z wykorzystaniem pożyczek błyskawicznych, ale także przed atakami wielorybów, tzn. co by się stało, gdyby duzi gracze nagle wykorzystali swoje ogromne fundusze, aby skorzystać z naszego protokołu? Czy system zachowywałby się zgodnie z założeniami? Jaki jest nasz „zamierzony” przepływ biznesowy?” Hetman kontynuował. „Modelowanie zagrożeń pomogłoby ujawnić potencjalne słabości systemu”.

„Korzystając ze średniej ceny ważonej w czasie (TWAP), wyrocznie mogą pomóc zminimalizować manipulację cenami poprzez uśrednianie cen w określonym przedziale czasu, co utrudnia atakującym manipulowanie cenami w pojedynczej transakcji. Dodatkowo wdrożenie systemów wielowyroczniowych może zapewnić redundancję i kontrolę krzyżową danych cenowych, dodatkowo wzmacniając obronę przed manipulacją – dodał Hetman.

Wdrażając wyłączniki automatyczne, osoby atakujące pożyczki błyskawiczne mogą uniemożliwić czerpanie zysków z manipulowanych cen w przypadku wykrycia znacznych wahań cen – wyjaśnił Hetman. „Gdy przyczyna wahań cen zostanie zidentyfikowana i usunięta, handel może zostać wznowiony. Musi to obejmować potencjalne ważne transakcje, które z zewnątrz mogą wydawać się podejrzane.”

„Ważne jest również, aby nie dopuścić do tego, aby główne działania protokołu miały miejsce tylko w jednym bloku. Pożyczki błyskawiczne najczęściej można wziąć tylko w jednej transakcji na jeden blok – dodał Hetman.