Како се Фласх кредити користе за манипулацију крипто тржиштем

Према недавном извештају, напади на брзе зајмове су у порасту. Шта су они и који су ризици?

Замислите да можете да узмете зајам скоро неограничене величине без давања било каквог колатерала. Постоји само једна квака. Морате да га вратите скоро тренутно. Звучи чудно? Вероватно јесте. Али то је управо оно што је флеш кредит. Као што само име каже, ови кредити се одвијају готово тренутно. (Замислите суперхероја ДЦ стрипова, Флеша, који може да путује брзином светлости.)

Недавни извештај Де.Фи сугерише да су брзи зајмови у порасту и да их лоши актери користе у све већем броју експлоата. У првом кварталу ове године, 1 милиона долара је изгубљено кроз овај стил експлоатације. 

Али зашто би неко желео да узме скоро тренутни зајам? Па, као и многе ствари у крипто-у, све се своди на добре приносе.

Објашњени Фласх кредити и напади на Фласх кредите

Логика брзих кредита се ослања на арбитражу, процес искоришћавања малих разлика у цени. За разлику од других врста зајмова, фласх кредити не захтевају дуготрајан процес одобравања, тако да се могу брзо извршити. „С обзиром на ниске накнаде укључене у зајам за једну трансакцију, постоји огроман потенцијал за високе приносе“, објаснио је Артем Бондаренко, софтверски архитекта у Де.Фи, у интервјуу за БеИнЦрипто. „За кредиторе брзог кредита не постоје ризици јер се кредит одмах враћа. У супротном, трансакција не успе."

У традиционалним финансијама, не постоји ништа слично брзом зајму. Слично је опцији позива, али са неким значајним разликама. Уз фласх кредит, позајмљени новац можете искористити одмах, док са цалл опцијом треба сачекати. Такође, у традиционалним финансијама, трансакције се обично дешавају једна по једна, док се код брзих зајмова дешавају у блоковима. Међутим, ови краткорочни инструменти нису потпуно без лоших страна, као што Де.Фи-ов извештај истиче.

„Напад брзог зајма се дешава када неко може да позајми огромну суму на једном месту и искористи је за манипулисање ценама куповином или продајом у великим количинама, чиме утиче на цену имовине“, рекао је Бондаренко. „Онда користите ту промену цене да бисте искористили супротну куповину или продају на другој страни, стварајући арбитражу између цена на два места, затим враћајући првобитни зајам и ставите разлику у џеп.

„Ако је протокол ликвидности правилно дизајниран са правим пророчанствима о ценама, то не би требало да буде проблем, али у случајевима када је дизајн лош, то је рањивост која се може искористити и довести до масовне ликвидације“, додао је Бондаренко.

Ко су жртве?

Фласх зајмови су привлачни нападачима јер омогућавају позајмљивање великих сума криптовалута без обезбеђења колатерала. Да би се спречили такви напади, могу се применити боље безбедносне мере као што су ревизије кода и робустан дизајн паметних уговора, а свест о потенцијалним векторима напада може се подићи у оквиру ДеФи екосистема.

13. марта је хакован Еулер Финанце, познати протокол за позајмљивање заснован на Етхереум-у, а нападач је украо милионе долара различитих криптовалута, као што су Даи, УСДЦ, Стакед Етхереум и Враппед Битцоин, извршавањем више трансакција. 

Укупна украдена сума износила је скоро 196 милиона долара, са 8.7 милиона долара у Даи, 18.5 милиона долара у ВБТЦ, 135.8 милиона долара у СтЕТХ и 33.8 милиона долара у УСДЦ. 

Нападач је преместио украдена средства са Бинанце Смарт Цхаин-а у Етхереум користећи вишеланчани мост, а затим је извршио напад фласх зајма. Они су украдена средства депоновали у Торнадо Цасх, познати крипто миксер, како би закомпликовали напоре за опоравак и сакрили свој идентитет.

Пре месец дана, 16. фебруара, Платипус Финанце, аутоматизовани маркет мејкер, претрпео је посебан напад брзих зајмова. Нападач је украо стабилне цоине у вредности од 8,500,887 долара, укључујући УСДЦ, УСДТ, БУСД и ДАИ. 

У овом случају, нападач је искористио рањивост у УСП механизму провере солвентности. У том процесу, нападач је обезбедио брзи зајам од 44,000,000 УСДЦ, а затим га заменио за 44,000,000 Платипус ЛП-УСД. Затим су исковали 41,700,000 УСП токена без трошкова, који су замењени за различите стабилне цоин. 

Платипус Финанце сарађује са услугама трећих страна на замрзавању украдене имовине, а неке су већ замрзнуте. Злонамерни уговор је уклоњен и примењене су додатне мере безбедности како би се спречили будући напади. Међутим, нападач је успео да пренесе део украдених средстава.

Како смањити ризике?

На један начин, Фласх кредити су један од великих еквилајзера криптовалута. Они омогућавају трговцима са мањим капиталом да се баве пословима са високом наградом који би обично били отворени само за такозване китове. „Али као што смо видели више пута, флеш зајмови такође представљају велики ризик за ДеФи протоколе који не узимају у обзир такве ствари“, рекао је за БеИнЦрипто Адриан Хетман, технички вођа тима за тријажирање у Иммунефи.

„Протоколи не би требало да се штите само од могућих напада омогућених фласх позајмица, већ и од напада китова, тј. шта би се десило када би велики играчи изненада искористили своја огромна средства да користе наш протокол? Да ли би се систем понашао како је предвиђено? Какав је наш 'предвиђени' пословни ток?" настави Хетман. „Моделирање претњи би помогло да се открију потенцијалне слабости система.

„Користећи временско пондерисану просечну цену (ТВАП), оракули могу помоћи да се минимизира манипулација ценама усредњавањем цена у одређеном временском периоду, што отежава нападачима да манипулишу ценама у једној трансакцији. Поред тога, имплементација система са више оракула може да обезбеди редундантност и унакрсну проверу података о ценама, додатно ојачавајући одбрану од манипулације“, додао је Хетман.

Применом прекидача, нападачи брзих кредита могу бити спречени да профитирају од изманипулисаних цена када се открију значајне промене цена, објаснио је Хетман. „Када се идентификује и отклони узрок промене цена, трговање се може наставити. Ово треба да укључи потенцијалне важеће трговине које могу изгледати сумњиво само споља."

„Такође је важно не дозволити да се главне протоколарне радње дешавају само у једном блоку. Флеш кредити се најчешће могу узети само у једној трансакцији за један блок“, додао је Хетман.