Kako se Flash zajmovi koriste za manipuliranje kripto tržištem

Prema nedavnom izvješću, napadi na brze kredite su u porastu. Što su oni i koji su rizici?

Zamislite da možete podići zajam gotovo neograničene veličine bez davanja ikakvog kolaterala. Postoji samo jedna kvaka. Morate ga vratiti gotovo trenutno. Zvuči čudno? Vjerojatno jest. Ali to je upravo ono što je brzi zajam. Kao što ime sugerira, ovi zajmovi se odvijaju gotovo trenutno. (Razmislite o superjunaku DC Comica, The Flashu, koji može putovati brzinom svjetlosti.)

Nedavno izvješće De.Fi-ja sugerira da su brzi zajmovi u porastu i da ih loši akteri koriste u sve većem broju podviga. U prvom tromjesečju ove godine izgubljeno je 1 milijuna dolara kroz ovaj način iskorištavanja. 

Ali zašto bi netko želio podići gotovo trenutni zajam? Pa, kao i mnoge druge stvari u kripto, sve se svodi na dobre povrate.

Objašnjenje brzih zajmova i napada na brze zajmove

Logika brzih zajmova oslanja se na arbitražu, proces iskorištavanja malih razlika u cijenama. Za razliku od drugih vrsta kredita, brzi krediti ne zahtijevaju dugotrajan postupak odobravanja, tako da se mogu brzo izvršiti. "S obzirom na niske naknade uključene u zajam s jednom transakcijom, postoji ogroman potencijal za visoke povrate", objasnio je Artem Bondarenko, softverski arhitekt u De.Fi, u intervjuu za BeInCrypto. “Za kreditore brzog zajma nema rizika jer se zajam odmah vraća. U suprotnom, transakcija neće uspjeti."

U tradicionalnim financijama ne postoji ništa točno kao brzi zajam. Slično je pozivnoj opciji, ali s nekim značajnim razlikama. Kod brze pozajmice posuđeni novac možete iskoristiti odmah, dok kod pozivne opcije morate pričekati. Također, u tradicionalnim financijama transakcije se obično odvijaju jedna po jedna, dok se kod brzih zajmova događaju u blokovima. Međutim, ovi kratkoročni instrumenti nisu potpuno bez nedostataka, kao što je navedeno u izvješću De.Fi-ja.

"Napad brzim zajmom događa se kada netko može posuditi ogroman iznos na jednom mjestu i koristiti ga za manipuliranje cijenama kupnjom ili prodajom velikih količina, čime utječe na cijenu imovine", rekao je Bondarenko. "Zatim korištenje te promjene cijene za iskorištavanje suprotne kupnje ili prodaje na drugoj strani, stvaranje arbitraže između cijena na dva mjesta, zatim otplata izvornog zajma i stavljanje razlike u džep."

"Ako je protokol likvidnosti pravilno dizajniran s pravim proročanstvima o cijenama, to ne bi trebao biti problem, ali u slučajevima kada je dizajn loš, to je ranjivost koja se može iskoristiti i dovesti do masovne likvidacije", dodao je Bondarenko.

Tko su žrtve?

Flash zajmovi privlačni su napadačima jer omogućuju posuđivanje velikih iznosa kriptovalute bez davanja kolaterala. Kako bi se spriječili takvi napadi, mogu se implementirati bolje sigurnosne mjere kao što su revizije koda i robustan dizajn pametnih ugovora, a svijest o potencijalnim vektorima napada može se podići unutar DeFi ekosustava.

Dana 13. ožujka hakiran je Euler Finance, dobro poznati protokol za pozajmljivanje temeljen na Ethereumu, a napadač je ukrao različite kriptovalute u vrijednosti milijune dolara, kao što su Dai, USDC, Staked Ethereum i Wrapped Bitcoin, izvršavajući više transakcija. 

Ukupni ukradeni iznos iznosio je gotovo 196 milijuna dolara, od čega 8.7 milijuna dolara u Daiju, 18.5 milijuna dolara u WBTC-u, 135.8 milijuna dolara u StETH-u i 33.8 milijuna dolara u USDC-u. 

Napadač je premjestio ukradena sredstva iz Binance Smart Chaina u Ethereum pomoću višelančanog mosta, a zatim je izveo napad na flash zajam. Ukradena sredstva polagali su u Tornado Cash, poznati kripto mikser, kako bi zakomplicirali pokušaje povrata i prikrili svoj identitet.

Mjesec dana prije, 16. veljače, Platypus Finance, automatizirani proizvođač tržišta, pretrpio je zasebni napad na brzi kredit. Napadač je ukrao stablecoine u vrijednosti od 8,500,887 dolara, uključujući USDC, USDT, BUSD i DAI. 

U ovom slučaju, napadač je iskoristio ranjivost u USP mehanizmu provjere solventnosti. U procesu je napadač osigurao brzi zajam od 44,000,000 USDC, a zatim ga zamijenio za 44,000,000 Platypus LP-USD. Zatim su iskovali 41,700,000 USP tokena bez troškova, koji su zamijenjeni za razne stabilne kovanice. 

Platypus Finance surađuje sa uslugama trećih strana kako bi zamrznula ukradenu imovinu, a neka su već zamrznuta. Zlonamjerni ugovor je uklonjen i implementirane su dodatne sigurnosne mjere kako bi se spriječili budući napadi. Ipak, napadač je uspio prebaciti dio ukradenih sredstava.

Kako smanjiti rizike?

Na jedan način, Flash zajmovi jedan su od velikih ekvilajzera kripto. Omogućuju trgovcima s manje kapitala da se uključe u visokonaplative trgovine koje bi obično bile otvorene samo za takozvane kitove. "No, kao što smo vidjeli mnogo puta, brzi zajmovi također predstavljaju veliki rizik za DeFi protokole koji ne uzimaju u obzir takve stvari", rekao je za BeInCrypto Adrian Hetman, tehnički voditelj trijažnog tima u Immunefiju.

“Protokoli se ne bi trebali zaštititi samo od mogućih napada omogućenih flash posudbom, već i od Whale napada, tj. što bi se dogodilo da veliki igrači iznenada iskoriste svoja golema sredstva za korištenje našeg protokola? Bi li se sustav ponašao kako je zamišljeno? Kakav je naš 'namjeravani' poslovni tijek?” nastavi Hetman. "Modeliranje prijetnji pomoglo bi u otkrivanju potencijalnih slabosti sustava."

“Upotrebom vremenski ponderirane prosječne cijene (TWAP), proročanstva mogu pomoći u smanjenju manipulacije cijenama izračunavanjem prosjeka cijena u određenom vremenskom razdoblju, što otežava napadačima manipuliranje cijenama u jednoj transakciji. Dodatno, implementacija multi-oracle sustava može osigurati redundantnost i unakrsnu provjeru podataka o cijenama, dodatno jačajući obranu od manipulacije,” dodao je Hetman.

Uvođenjem prekidača strujnog kruga napadači na brze zajmove mogu se spriječiti da profitiraju od manipuliranih cijena kada se otkriju značajne promjene cijena, objasnio je Hetman. “Nakon što se utvrdi i riješi uzrok promjene cijene, trgovanje se može nastaviti. To mora uključivati ​​potencijalne valjane trgovine koje se samo izvana mogu činiti sumnjivima.”

“Također je važno ne dopustiti da se velike radnje protokola dogode samo preko jednog bloka. Brzi zajmovi se u većini slučajeva mogu uzeti samo u jednoj transakciji za jedan blok”, dodao je Hetman.