Як флеш-кредити використовуються для маніпулювання крипто-ринком

Згідно з нещодавнім звітом, атаки на швидкі кредити зростають. Які вони та які ризики?

Уявіть, що ви можете взяти кредит майже необмеженого розміру без будь-якої застави. Є лише одна заковика. Ви повинні повернути його майже миттєво. Звучить дивно? Напевно так. Але це саме те, що таке швидка позика. Як випливає з назви, ці позики надаються майже миттєво. (Подумайте про супергероя коміксів DC, Флеша, який може подорожувати зі швидкістю світла.)

Нещодавній звіт De.Fi показує, що термінові кредити зростають, і зловмисники використовують їх у все більшій кількості експлойтів. У першому кварталі цього року через такий експлойт було втрачено 1 мільйонів доларів. 

Але навіщо комусь брати майже миттєвий кредит? Ну, як і багато речей у криптовалюті, це зводиться до хороших прибутків.

Пояснення швидких позик і атак на швидкі кредити

Логіка термінових позик заснована на арбітражі, процесі використання переваг невеликої різниці в ціні. На відміну від інших видів кредитів, термінові позики не потребують тривалого затвердження, тому їх можна швидко оформити. «Враховуючи низькі комісії, пов’язані з кредитом за одну транзакцію, існує величезний потенціал для високої прибутковості», — пояснив Артем Бондаренко, архітектор програмного забезпечення De.Fi, в інтерв’ю BeInCrypto. «Для кредиторів швидкої позики немає жодних ризиків, оскільки позика повертається одразу. Інакше транзакція буде невдалою».

У традиційних фінансах немає нічого схожого на швидку позику. Це схоже на опціон колл, але з деякими суттєвими відмінностями. З флеш-кредитом можна відразу скористатися позиченими грошима, а з колл-опціоном потрібно почекати. Крім того, у традиційних фінансах транзакції зазвичай відбуваються по черзі, тоді як із терміновими позиками вони відбуваються блоками. Однак, як зазначено у звіті De.Fi, ці короткострокові інструменти не зовсім позбавлені недоліків.

«Флеш-кредитна атака відбувається, коли хтось може позичити величезну суму в одному місці та використовувати її для маніпулювання цінами, купуючи чи продаючи великі обсяги, тим самим впливаючи на ціну активу», — сказав Бондаренко. «Потім, використовуючи цю зміну в ціні, використовувати протилежну купівлю чи продаж на іншій стороні, створюючи арбітраж між цінами в двох місцях, потім повертаючи початкову позику та вкладаючи різницю в кишеню».

«Якщо протокол ліквідності правильно розроблено з правильними оракулами ціноутворення, це не повинно бути проблемою, але у випадках, коли дизайн поганий, це вразливість, якою можна скористатися та призвести до масової ліквідації», — додав Бондаренко.

Хто жертви?

Флеш-кредити привабливі для зловмисників, оскільки вони дозволяють позичати великі суми криптовалюти без надання застави. Щоб запобігти таким атакам, можна запровадити кращі заходи безпеки, такі як аудит коду та надійний дизайн смарт-контрактів, а також підвищити обізнаність про потенційні вектори атак в екосистемі DeFi.

13 березня Euler Finance, відомий протокол кредитування на основі Ethereum, було зламано, і зловмисник викрав різні криптовалюти на мільйони доларів, такі як Dai, USDC, Staked Ethereum і Wrapped Bitcoin, виконавши кілька транзакцій. 

Загальна сума вкраденого склала майже 196 мільйонів доларів, з яких 8.7 мільйона доларів у Dai, 18.5 мільйона доларів у WBTC, 135.8 мільйона доларів у StETH та 33.8 мільйона доларів у USDC. 

Зловмисник перемістив викрадені кошти з Binance Smart Chain в Ethereum за допомогою багатоланцюжкового мосту, а потім провів атаку флеш-позики. Вони внесли викрадені кошти в Tornado Cash, відомий міксер криптовалют, щоб ускладнити пошуки та приховати свою особу.

За місяць до цього, 16 лютого, Platypus Finance, автоматизований маркет-мейкер, зазнав окремої атаки флеш-кредитів. Зловмисник викрав стейблкоїни на суму $8,500,887 XNUMX XNUMX, включаючи USDC, USDT, BUSD і DAI. 

У цьому випадку зловмисник скористався уразливістю в механізмі перевірки платоспроможності USP. У процесі зловмисник отримав швидку позику в розмірі 44,000,000 44,000,000 41,700,000 USDC, а потім обміняв її на XNUMX XNUMX XNUMX Platypus LP-USD. Потім вони викарбували XNUMX XNUMX XNUMX токенів USP без витрат, які обміняли на різні стейблкоїни. 

Platypus Finance співпрацює зі сторонніми службами, щоб заморозити викрадені активи, і деякі з них уже були заморожені. Зловмисний контракт було видалено та застосовано додаткові заходи безпеки для запобігання майбутнім атакам. Однак частину викрадених коштів зловмиснику вдалося перерахувати.

Як зменшити ризики?

З одного боку, флеш-позики є одним із чудових вирівнювачів криптовалюти. Вони дозволяють трейдерам з меншим капіталом брати участь у торгівлі з високою винагородою, яка зазвичай відкрита лише для так званих китів. «Але, як ми неодноразово бачили, флеш-позики також становлять великий ризик для протоколів DeFi, які не враховують такі речі», — сказав BeInCrypto Адріан Гетьман, технічний керівник групи сортування в Immunefi.

«Протоколи повинні захищатися не тільки від можливих атак із підтримкою флеш-позики, але й від атак Whale, тобто що станеться, якщо великі гравці раптом використають свої величезні кошти для використання нашого протоколу? Чи буде система поводитись так, як задумано? Який наш «передбачений» бізнес-потік?» — продовжував Гетьман. «Моделювання загроз допоможе виявити потенційні слабкі сторони системи».

«Використовуючи зважену за часом середню ціну (TWAP), оракули можуть допомогти мінімізувати маніпулювання цінами шляхом усереднення цін за певний період часу, що ускладнює для зловмисників маніпулювання цінами в одній транзакції. Крім того, впровадження мультиоракулних систем може забезпечити надлишковість і перехресну перевірку цінових даних, ще більше посилюючи захист від маніпуляцій», – додав Гетьман.

Впроваджуючи автоматичні вимикачі, зловмисникам можна запобігти отриманню прибутку від маніпуляційних цін у разі виявлення значних коливань цін, пояснив Гетьман. «Після виявлення та усунення причини коливання ціни торгівля може відновитися. Це має включати потенційні дійсні угоди, які можуть здаватися підозрілими лише ззовні».

«Також важливо не допускати, щоб основні дії протоколу відбувалися лише над одним блоком. Флеш-кредити здебільшого можна взяти лише однією операцією за один блок», – додав Гетьман.