Jak se flashové půjčky používají k manipulaci s kryptotrhem

Podle nedávné zprávy jsou útoky na bleskové půjčky na vzestupu. Které to jsou a jaká jsou rizika?

Představte si, že byste si mohli vzít půjčku téměř neomezené velikosti, aniž byste museli složit jakékoli zajištění. Má to jen jeden háček. Musíte to vrátit téměř okamžitě. Zní to divně? Pravděpodobně ano. Ale přesně taková je blesková půjčka. Jak název napovídá, tyto půjčky probíhají téměř okamžitě. (Vzpomeňte na superhrdinu DC Comic, The Flash, který dokáže cestovat rychlostí světla.)

Nedávná zpráva De.Fi naznačuje, že bleskové půjčky jsou na vzestupu a špatní aktéři je využívají ve stále větším počtu exploitů. V 1. čtvrtletí tohoto roku bylo tímto způsobem zneužití ztraceno 200 milionů dolarů. 

Ale proč by si někdo chtěl vzít půjčku téměř okamžitě? No, stejně jako mnoho věcí v kryptoměnách, jde o dobré výnosy.

Bleskové půjčky a bleskové úvěrové útoky vysvětleny

Logika bleskových půjček se opírá o arbitráž, proces využívání malých cenových rozdílů. Na rozdíl od jiných druhů půjček nevyžadují bleskové půjčky zdlouhavý schvalovací proces, takže je lze rychle vyřídit. „Vzhledem k nízkým poplatkům spojeným s půjčkou na jednu transakci existuje obrovský potenciál pro vysoké výnosy,“ vysvětlil Artem Bondarenko, softwarový architekt společnosti De.Fi, v rozhovoru pro BeInCrypto. „Pro věřitele bleskové půjčky neexistují žádná rizika, protože půjčka se okamžitě vrátí. Jinak transakce selže."

V tradičních financích neexistuje nic jako blesková půjčka. Je to podobné jako call opce, ale s některými významnými rozdíly. U flash půjčky můžete půjčené peníze použít hned, u call opce si musíte počkat. V tradičních financích se transakce obvykle odehrávají po jedné, zatímco u bleskových půjček k nim dochází v blocích. Tyto krátkodobé nástroje však nejsou zcela bez záporu, jak nastiňuje zpráva De.Fi.

„Útok bleskové půjčky nastává, když si někdo dokáže půjčit obrovskou částku na jednom místě a použít ji k manipulaci s cenami nákupem nebo prodejem ve velkém množství, čímž ovlivní cenu aktiva,“ řekl Bondarenko. "Pak tuto změnu ceny využijete k využití opačného nákupu nebo prodeje na druhé straně, vytvoříte arbitráž mezi cenami na dvou místech, pak splatíte původní půjčku a rozdíl strhnete do kapsy."

„Pokud je protokol likvidity správně navržen se správnými cenovými orákuly, neměl by to být problém, ale v případech, kdy je návrh špatný, je to zranitelnost, kterou lze zneužít a vést k hromadné likvidaci,“ dodal Bondarenko.

Kdo jsou oběti?

Flash půjčky jsou pro útočníky atraktivní, protože umožňují půjčovat si velké částky kryptoměny bez poskytnutí zástavy. Aby se takovým útokům zabránilo, lze implementovat lepší bezpečnostní opatření, jako jsou audity kódu a robustní návrh inteligentních smluv, a v rámci ekosystému DeFi lze zvýšit povědomí o potenciálních vektorech útoků.

13. března byl hacknut Euler Finance, známý půjčovací protokol založený na Ethereu, a útočník ukradl různé kryptoměny v hodnotě milionů dolarů, jako jsou Dai, USDC, Staked Ethereum a Wrapped Bitcoin, provedením více transakcí. 

Celková ukradená částka byla téměř 196 milionů $, z toho 8.7 milionu $ v Dai, 18.5 milionu $ ve WBTC, 135.8 milionu $ v StETH a 33.8 milionu $ v USDC. 

Útočník přesunul ukradené prostředky z Binance Smart Chain do Etherea pomocí víceřetězcového mostu a poté provedl útok flashové půjčky. Ukradené finanční prostředky vložili do Tornado Cash, známého mixéru kryptoměn, aby zkomplikovali úsilí o vymáhání a skryli svou identitu.

Měsíc předtím, 16. února, utrpěla společnost Platypus Finance, automatizovaný tvůrce trhu, samostatný útok bleskové půjčky. Útočník ukradl stablecoiny v hodnotě 8,500,887 XNUMX XNUMX dolarů, včetně USDC, USDT, BUSD a DAI. 

V tomto případě útočník využil zranitelnosti v mechanismu kontroly solventnosti USP. V tomto procesu si útočník zajistil bleskovou půjčku ve výši 44,000,000 44,000,000 41,700,000 USDC a poté ji vyměnil za XNUMX XNUMX XNUMX Platypus LP-USD. Poté bez nákladů vytěžili XNUMX XNUMX XNUMX USP tokenů, které byly vyměněny za různé stablecoiny. 

Platypus Finance spolupracuje se službami třetích stran na zmrazení ukradených aktiv a některá již byla zmrazena. Škodlivý kontrakt byl odstraněn a byla implementována další bezpečnostní opatření, aby se zabránilo budoucím útokům. Útočníkovi se ale podařilo část ukradených prostředků převést.

Jak snížit rizika?

V jednom směru jsou Flash půjčky jedním z velkých ekvalizérů kryptoměn. Umožňují obchodníkům s menším kapitálem zapojit se do obchodů s vysokou odměnou, které by byly obvykle otevřené pouze pro takzvané velryby. „Ale jak jsme již mnohokrát viděli, flash půjčky také představují velké riziko pro protokoly DeFi, které s takovými věcmi nepočítají,“ řekl BeInCrypto Adrian Hetman, technický vedoucí týmu pro třídění v Immunefi.

„Protokoly by se neměly chránit pouze před možnými útoky s podporou flashových půjček, ale také před útoky velryb, tj. co by se stalo, kdyby velcí hráči náhle použili své obrovské prostředky k použití našeho protokolu? Choval by se systém podle plánu? Jaký je náš „zamýšlený“ obchodní tok?“ Hetman pokračoval. "Modelování hrozeb by pomohlo odhalit potenciální slabiny systému."

„Pomocí časově vážené průměrné ceny (TWAP) mohou oracles pomoci minimalizovat manipulaci s cenami průměrováním cen za určité časové období, což útočníkům ztíží manipulaci s cenami v jedné transakci. Implementace multi-oracle systémů může navíc zajistit redundanci a křížovou kontrolu cenových dat, což dále posiluje obranu proti manipulaci,“ dodal Hetman.

Zavedením jističů lze útočníkům z flashových půjček zabránit v profitování z manipulovaných cen, když jsou zjištěny výrazné cenové výkyvy, vysvětlil Hetman. „Jakmile je příčina cenového výkyvu identifikována a vyřešena, obchodování může pokračovat. To musí zahrnovat potenciální platné obchody, které se zvenčí mohou jevit jako podezřelé.“

„Je také důležité nedovolit, aby se hlavní akce protokolu odehrávaly pouze v jednom bloku. Flash půjčky lze většinou čerpat pouze v jedné transakci na jeden blok,“ dodal Hetman.