Cum sunt folosite împrumuturile flash pentru a manipula piața cripto

Potrivit unui raport recent, atacurile de împrumut rapid sunt în creștere. Care sunt acestea și care sunt riscurile?

Imaginați-vă că puteți contracta un împrumut de dimensiune aproape nelimitată fără a pune vreo garanție. Există o singură captură. Trebuie să o plătiți înapoi aproape instantaneu. Suna ciudat? Probabil da. Dar exact asta este un împrumut rapid. După cum sugerează și numele, aceste împrumuturi au loc aproape instantaneu. (Gândiți-vă la supereroul DC Comic, The Flash, care poate călători cu viteza luminii.)

Un raport recent al De.Fi sugerează că împrumuturile flash sunt în creștere, iar actorii răi le folosesc într-un număr tot mai mare de exploit-uri. În primul trimestru al acestui an, 1 de milioane de dolari au fost pierdute prin acest stil de exploatare. 

Dar de ce ar vrea cineva să facă un împrumut aproape instantaneu? Ei bine, la fel ca multe lucruri în cripto, se reduce la randamente bune.

Împrumuturile flash și atacurile de împrumut rapid explicate

Logica creditelor flash se bazează pe arbitraj, procesul de a profita de mici diferențe de preț. Spre deosebire de alte tipuri de împrumuturi, împrumuturile flash nu necesită un proces îndelungat de aprobare, astfel încât pot fi executate rapid. „Având în vedere comisioanele scăzute implicate în împrumutul cu o singură tranzacție, există un potențial imens pentru randamente mari”, a explicat Artem Bondarenko, arhitect software la De.Fi, într-un interviu pentru BeInCrypto. „Pentru creditorii unui împrumut rapid, nu există riscuri, deoarece împrumutul este returnat imediat. În caz contrar, tranzacția eșuează.”

În finanțele tradiționale, nu există nimic exact ca un împrumut rapid. Este similar cu o opțiune de apel, dar cu unele diferențe semnificative. Cu un împrumut flash, puteți folosi banii împrumutați imediat, în timp ce cu o opțiune de apel, trebuie să așteptați. De asemenea, în finanțele tradiționale, tranzacțiile au loc de obicei una câte una, în timp ce în cazul împrumuturilor flash, acestea au loc în bloc. Cu toate acestea, aceste instrumente pe termen scurt nu sunt complet lipsite de un dezavantaj, așa cum subliniază raportul De.Fi.

„Un atac de împrumut rapid are loc atunci când cineva este capabil să împrumute o sumă uriașă într-un singur loc și să o folosească pentru a manipula prețurile cumpărând sau vânzând în cantități mari, influențând astfel prețul unui activ”, a spus Bondarenko. „Apoi, folosind această modificare a prețului pentru a exploata cumpărarea sau vânzarea opusă din altă parte, creând un arbitraj între prețuri în cele două locuri, apoi rambursând împrumutul inițial și împrumutând diferența.”

„Dacă protocolul de lichiditate este conceput în mod corespunzător cu oracolele de preț potrivite, aceasta nu ar trebui să fie o problemă, dar în cazurile în care designul este slab, este o vulnerabilitate care poate fi exploatată și poate duce la un eveniment de lichidare în masă”, a adăugat Bondarenko.

Cine sunt victimele?

Împrumuturile flash sunt atractive pentru atacatori, deoarece permit împrumutul unor sume mari de criptomonede fără a oferi garanții. Pentru a preveni astfel de atacuri, pot fi implementate măsuri de securitate mai bune, cum ar fi audituri de cod și design robust de contract inteligent, iar conștientizarea potențialilor vectori de atac poate fi crescută în ecosistemul DeFi.

Pe 13 martie, Euler Finance, un protocol de creditare bine-cunoscut bazat pe Ethereum, a fost spart, iar atacatorul a furat milioane de dolari în diferite criptomonede, cum ar fi Dai, USDC, Staked Ethereum și Wrapped Bitcoin, prin executarea mai multor tranzacții. 

Suma totală furată a fost de aproape 196 milioane USD, cu 8.7 milioane USD în Dai, 18.5 milioane USD în WBTC, 135.8 milioane USD în StETH și 33.8 milioane USD în USDC. 

Atacatorul a mutat fondurile furate de la Binance Smart Chain la Ethereum folosind un pod multichain, apoi a condus atacul de împrumut rapid. Ei au depus fondurile furate în Tornado Cash, un mixer cripto bine cunoscut, pentru a complica eforturile de recuperare și pentru a le ascunde identitatea.

Cu o lună înainte, pe 16 februarie, Platypus Finance, un market maker automat, a suferit un atac separat de împrumut rapid. Atacatorul a furat monede stabile în valoare de 8,500,887 USD, inclusiv USDC, USDT, BUSD și DAI. 

În acest caz, atacatorul a profitat de o vulnerabilitate în mecanismul de verificare a solvabilității USP. În acest proces, atacatorul și-a asigurat un împrumut rapid de 44,000,000 USDC, apoi l-a schimbat cu 44,000,000 Platypus LP-USD. Apoi au bătut 41,700,000 de jetoane USP fără costuri, care au fost schimbate cu diferite monede stabile. 

Platypus Finance a colaborat cu servicii terțe pentru a îngheța activele furate, iar unele au fost deja înghețate. Contractul rău intenționat a fost eliminat și măsuri suplimentare de securitate implementate pentru a preveni atacurile viitoare. Cu toate acestea, atacatorul a reușit să transfere o parte din fondurile furate.

Cum să reduceți riscurile?

Într-un fel, împrumuturile Flash sunt unul dintre marii egalizatori de cripto. Acestea permit comercianților cu mai puțin capital să se angajeze în tranzacții cu recompense ridicate, care de obicei ar fi deschise doar așa-numitelor Balene. „Dar, așa cum am văzut de multe ori, împrumuturile flash reprezintă, de asemenea, un risc mare pentru protocoalele DeFi care nu țin cont de astfel de lucruri”, a declarat Adrian Hetman, Tech Load al echipei de triaj de la Immunefi, pentru BeInCrypto.

„Protocoalele nu ar trebui să se protejeze numai împotriva posibilelor atacuri cu împrumuturi flash, ci și împotriva atacurilor Whale, adică, ce s-ar întâmpla dacă jucătorii mari și-ar folosi dintr-o dată fondurile masive pentru a folosi protocolul nostru? Sistemul se va comporta conform intenției? Care este fluxul nostru de afaceri „intenționat”?” a continuat hatmanul. „Modelarea amenințărilor ar ajuta la dezvăluirea potențialelor slăbiciuni ale sistemului.”

„Folosind prețul mediu ponderat în timp (TWAP), oracolele pot ajuta la minimizarea manipulării prețurilor prin mediarea prețurilor pe o anumită perioadă de timp, făcând mai dificil pentru atacatori să manipuleze prețurile într-o singură tranzacție. În plus, implementarea sistemelor multi-oracle poate oferi redundanță și verificare încrucișată pentru datele de preț, întărind și mai mult apărarea împotriva manipulării”, a adăugat Hetman.

Prin implementarea întreruptoarelor de circuit, atacatorii de credite flash pot fi împiedicați să profite de prețurile manipulate atunci când sunt detectate variații semnificative de preț, a explicat Hetman. „Odată ce cauza variației de preț este identificată și abordată, tranzacționarea poate fi reluată. Aceasta trebuie să includă tranzacții valide potențiale care pot părea doar la fel de suspecte din exterior.”

„Este, de asemenea, important să nu permitem acțiuni majore de protocol să aibă loc doar pe un singur bloc. Împrumuturile flash, de cele mai multe ori, pot fi luate doar într-o singură tranzacție pentru un bloc”, a adăugat Hetman.