Атаки на флэш-кредиты: что это такое и почему они распространены в DeFi?
Почему растет число атак на флэш-кредиты? Чтобы ответить на этот вопрос, нужно понимать, как работают сами флэш-кредиты, где есть возможности для их эксплуатации, и почему происходят атаки.
Поскольку мы будем говорить о флэш-кредитах, необходимо что бы вы хорошо понимает, что представляет собой технология DeFi, поскольку атаки на флэш-кредиты — это явление, которое является частью недостатков, присущих DeFi в ее нынешнем состоянии.
DeFi
Если мы посмотрим на Coinmarketrate.com, то прочтем, что децентрализованные финансы (DeFi) — это, как следует из названия, экосистема приложений, основанная на децентрализованной технологии, которую мы сегодня ассоциируем с популярными криптовалютами, такими как Bitcoin, Ethereum и так далее. Однако децентрализованные финансы не основаны на какой-либо одной из вышеупомянутых криптовалют. Скорее они основаны на одной технологии, которая является общей для всех основных и популярных криптовалют — блокчейн.
Технология блокчейн — это то, что лежит в основе всех особенностей, которые люди называют преимуществами криптовалютной индустрии. Неважно, анонимность это или тот факт, что валюта не контролируется горсткой людей, технология блокчейн — это то, что позволяет криптовалютам функционировать. Теперь давайте определимся с общей концепцией блокчейна, чтобы лучше понять не только DeFi, но и сами атаки на флэш-кредиты.
В основе технологии блокчейн лежит идея о том, что валюты могут существовать вне банковского управления, без единого субъекта, который бы контролировал транзакции. Вместо этого этим занимается ряд организаций, в которые может обратиться любой желающий. Таким образом, технология блокчейн обрабатывает транзакции и данные, передавая эти задачи пользователям, которые согласились выполнить эту задачу. Это позволяет существовать публичному реестру (бухгалтерской книге), доступному каждому в любое время и, следовательно, неподкупному и неизменному.
Когда приложения создаются на основе этой технологии, это обычно означает, что обработкой данных занимается не одна организация, а множество, что обеспечивает элемент доверия между пользователями приложения и его методами использования данных.
Более того, технология Blockchain позволяет ускорить обработку сложных данных приложения, поскольку большие куски данных, которые необходимо обработать, делятся на более мелкие фрагменты и отправляются на обработку разным лицам по всему миру. Таким образом, DeFi позволяет создавать приложения, код которых прозрачен, доступен и во многих случаях неизменен.
Однако все может пойти не так, и измениться в плохую сторону. Поскольку это сфера программирования (а какой бы дорогой замок вы ни купили, всегда найдется кто-то достаточно умелый, чтобы взломать его), есть много тех, кто придумал, как манипулировать системой ради собственной выгоды. При этом с каждым днем они причиняют вред все большему количеству людей, и именно этому вопросу посвящена данная статья — атакам на флэш-кредиты.
И так…
Начиная с самой фразы «атаки на флэш-кредиты», мы знакомимся с идеей самих флэш-кредитов. Ссылаясь на многочисленные случаи, когда технология DeFi приводила к огромным изменениям в финансовой экосистеме, мы имеем идею беззалоговых кредитов, чем, по сути, и являются флэш-кредиты. Флэш-кредиты — это кредиты, выдаваемые в рамках экосистемы, созданной DeFi, которые могут быть предоставлены без какого-либо залога. Они основаны на сети Ethereum.
Некоторые могут сказать, что Flash Loans стал шагом в движении к созданию прозрачной и децентрализованной финансовой системы, вытесняя централизованные учреждения, такие как банки, из процесса обработки и оформления кредитов.
Что касается технических аспектов работы, то флэш-кредиты используют смарт-контракты. Смарт-контракты — это кусочки кода в программировании широкого спектра децентрализованных приложений, которые позволяют выполнять определенную задачу только при соблюдении определенных условий. В данном случае средства не переводятся, пока не будут выполнены определенные условия с обеих сторон, осуществляющих перевод. Человек, взявший кредит, который в данном случае является заемщиком, должен вернуть кредит до завершения сделки, и, следовательно, это позволяет процессу заимствования-кредитования происходить эффективно и быстро, не требуя никакого залога.
Флэш-кредиты используются трейдерами для получения прибыли от разницы цен на ценные активы на различных биржах. Такое использование называется арбитражем, и лучше всего понять, как они работают, можно на примере.
Допустим, есть некий токен, назовем его XYZ. Его стоимость составляет 10 $ на бирже А, и 20 $ на бирже Б. Пользователь может таким образом получить флэш-кредит в размере1000 $, используя который он может купить 100 XYZ по 10 $ за штуку. Они продают эти XYZ на бирже B по 20 $ за штуку, что позволяет пользователю получить 2000 $, 1000 $ из которых он использует для погашения кредита, а 1000 $ идет в его карман. Именно эта особенность Flash Loans привлекает трейдеров, поскольку это очень простой способ быстро получить займы в крипто-сфере.
Что касается ранее упомянутой риторики о том, насколько концепция флэш-кредитов революционизировала индустрию, то да, это так. Если посмотреть на то, почему флэш-кредиты пользуются такой популярностью, то это связано с большим количеством преимуществ, которые они дают людям, желающим их получить.
Flash Loans гарантирует, что транзакция будет считаться завершенной только тогда, когда заемщик вернет деньги, которые он должен был получить, в противном случае транзакция будет считаться незавершенной, и любой потенциальный обмен деньгами в форме криптовалют будет отменен. Тем самым они позволяют исключить один ключевой компонент, который стал частью повседневной жизни многих. Его можно просто избежать. Процентные ставки.
Проценты начисляются на всю взятую сумму кредита, которая затем выплачивается в зависимости от срока, на который взят кредит, и суммы самого кредита. Следовательно, такие суммы приводят к тому, что заемщик всегда платит кредитору больше, чем кредитор заемщику. Это может беспокоить человека еще несколько месяцев, пока он осознает, что сумма дополнительных денег или процентов, которые он должен заплатить, увеличивается.
В то время как традиционные кредиты почти всегда требуют выплаты таких сумм, (исключение составляют исламские и некоторые еврейские банки), флэш-кредиты могут сыграть здесь важную роль. Они могут позволить выдавать беспроцентные кредиты. Это не только обеспечит большую доступность кредитов, но и повысит их стоимость.
Флэш-кредиты позволяют проводить такие операции без необходимости взимания процентной ставки. Помимо облегчения процессов заимствования и кредитования, флэш-кредиты также позволяют осуществлять такие процессы очень быстро. Поскольку весь процесс выдачи флэш-кредитов происходит в режиме онлайн на соответствующих платформах, а погашение кредита также остается в той же виртуальной сфере, флэш-кредиты могут выдаваться физическим лицам практически мгновенно.
Это может оказаться гораздо более важным преимуществом, поскольку людям не придется проходить через сравнительно длительный процесс оформления кредита в банке, в получении которого они даже не уверены. С помощью Flash Loans любой человек, имеющий доступ в Интернет, может получить кредит быстро и мгновенно.
Они имеют большое количество преимуществ, таких как возможность нулевой процентной ставки, мгновенная выдача и отсутствие оценки кредитного рейтинга перед получением кредита. Более того, тот факт, что они не требуют никакого капитала от заемщика, является золотым преимуществом сам по себе. Это позволяет лицам, имеющим ограниченный доступ к банковским услугам, низкий капитал и мгновенную потребность в кредитах, получить доступ к флеш-кредитам.
Как объяснялось ранее, флэш-кредиты позволяют человеку занять столько, сколько он хочет, с условием, удерживаемым с помощью смарт-контрактов. Например, если человеку нужно 2000 $ в ETH, он сможет получить эту сумму, но она не будет принадлежать ему. Человек должен будет что-то сделать с этими средствами, чтобы они вернулись в состоянии погасить кредит и, возможно, получить лишнюю сумму. Все это может показаться очень сложным, и так оно и есть. Однако для того, чтобы эти протоколы соблюдались и выполнялись, все они обеспечиваются блокчейном.
Атаки на флэш-кредиты появляются на общей картине, когда определенные лица манипулируют целыми рынками таким образом, чтобы обеспечить соблюдение правил блокчейна и, к сожалению, все равно нанести большой ущерб.
Подходя к сути
По сути, это и есть атаки на флэш-кредиты. Определенные лица используют флэш-кредиты таким образом, правила блокчейна не нарушаются, но при этом пользуются ситуацией, что позволяет им манипулировать рынком и наносить большой ущерб, которого можно избежать. Мы проиллюстрируем эффект атак на флэш-кредиты, приведя ниже соответствующие примеры из практики, чтобы представить картину ущерба, который может быть нанесен с помощью флэш-кредитов в реальных масштабах.
Начнем с атаки PancakeBunny, которая, возможно, является самой последней атакой на флэш-кредиты, произошедшей на сегодняшний день. Атака PancakeBunny обычно используется для обозначения событий мая 2021 года, когда хакеры смогли обнаружить эксплойт в системе. Используя эксплойт, хакеры вызвали падение курса токена PancakeBunny более чем на 95% от его первоначальной стоимости.
Организация, совершившая атаку, одолжила огромную сумму BNB у PancakeSwap и использовала одолженную сумму BNB для манипулирования ценой BUNNY/BNB и USDT/BNB в пулах PancakeBunny. Благодаря этому им удалось избежать наказания за кражу большого количества BUNNY. Рынок рухнул, когда они выбросили их в торговлю. После этого злоумышленник вернул долг через PancakeSwap. Это позволило злоумышленнику получить прибыль в размере около 3 миллионов долларов.
Возможно, стоит упомянуть еще одну атаку — крупнейшую атаку на флэш-кредиты 2021 года, чтобы еще раз проиллюстрировать, как может все в одночасье рухнуть. Речь пойдет об атаке на протокол Alpha Homora, в ходе которой умные злоумышленники смогли лишить протокол доходного фермерского хозяйства в 37 миллионов долларов. Это было сделано с помощью Iron Bank, платформы Cream, которая предназначена для тех, кто ищет платформу для кредитования. Атака была осуществлена путем нанесения ударов по платформе Iron Bank с помощью множества флэш-кредитов.
Хакер или злоумышленник одалживал sUSD у кредитной платформы Iron Bank, доступ к которой осуществляется через Alpha Homora dApp. Хакер каждый раз удваивал одолженную сумму. При каждом займе хакер возвращал заемные средства обратно в Iron Bank, что позволяло ему получать взамен ySUSD или Yearn Synth sUSD. Затем злоумышленник занял 1,8 млн USDC через Aave в качестве флеш-кредита, и использовал sUSD для их обмена через Curve. Это позволило злоумышленнику продолжать выплачивать кредиты, что дало ему возможность продолжать занимать большие суммы и каждый раз получать больше sUSD.
Этот процесс происходил несколько раз, в результате чего хакеры получили огромное количество средств, которые затем использовали для заимствования других криптовалют. Они одолжили около 3,6 миллиона USDC, 4,2 миллиона DAI и 13 тысяч Wrapped Ethereum.
Почему участились атаки флэш-кредитования?
Теперь, когда мы убедились в том, что флеш-кредиты опасны, и привели примеры, показывающие, до какой степени злоумышленники могут уйти от ответственности, возникает вопрос, почему флеш-кредиты становятся все более распространенными? Что побуждает злоумышленников проводить все больше и больше таких атак?
Чтобы частично ответить на этот вопрос, сначала необходимо рассмотреть природу блокчейна и то, как здесь действует фактор «все остаются анонимными». Поскольку в сети так много узлов, отследить транзакции становится очень сложно. Даже если транзакцию удается отследить, она возвращается к кошельку, а не к личному банковскому счету. Поэтому в криптовалютном мире такие случаи — обычное дело.
Это также может объяснить, почему криптовалюты являются средством оплаты на скетч-сайтах, подобных тем, которые можно найти в DarkNet. Тот факт, что они осуществляются по протоколам, использующим технологию Blockchain, является одним из факторов, объясняющих их рост, поскольку злоумышленники больше уверены в том, что их не поймают.
Кроме того, эти атаки сопряжены с низким риском. Сравните ограбление реального физического банка с технологией безопасности стоимостью в тысячи долларов, и онлайн-протоколом с точки зрения злоумышленника, и вы начнете понимать, о чем идет речь. Это заставляет их еще более уверенно подходить к осуществлению атаки. Оглядываясь назад, можно сказать, что до сих пор не пойман ни один злоумышленник, занимающийся флэш-кредитованием. Несмотря на огромные суммы похищенных денег, они все еще находятся в розыске, поскольку природа сетей без права доступа позволяет им получить доступ к инструментам для сокрытия своей личности.
Наряду с низкой степенью риска, такие атаки также дешевы в исполнении, что означает, что злоумышленнику не нужно брать на себя большие финансовые обязательства для осуществления подобной атаки. Для осуществления атаки на флэш-кредиты злоумышленнику может понадобиться только компьютер, подключение к Интернету и планирование.
Заключение
В заключение хотелось бы отметить, что данная статья была призвана осветить проблему, распространенную во многих протоколах DeFi, чтобы повысить осведомленность о проблеме атак Flash Loan.
Протоколы DeFi и Flash Loans не совершенны, и сегодня злоумышленники используют их, чтобы уйти с огромными суммами денег. Глубокое практическое понимание проблемы заставляет искать решения. И они не заставят себя долго ждать.