Что такое атака с помощью флеш-кредита

Опубликовано 27 июн. 2023 г.
Обновлено 25 апр. 2024 г.

Развитие криптовалют и технологии блокчейн привело к появлению различных тенденций и революционных технологий. Децентрализованные финансы (DeFi) — яркий тому пример. Сфера DeFi стремится создать беспрепятственную, масштабируемую, прозрачную и децентрализованную финансовую экосистему. DeFi развивается экспоненциально. Однако, как и в случае с большинством тенденций, у этой индустрии есть ряд проблем. Атаки с помощью флеш-кредитов — одна из них.

Атака PancakeBunny, из-за которой, как сообщается, было потеряно более 200 миллионов долларов, — это одна из самых громких атак с помощью флеш-кредитовза последнее время. В этой статье мы обсудим атаки на флеш-кредиты, способы защиты от них и наиболее известные случаи.

Что такое флеш-кредит

Flash

Флеш-кредиты — это беззалоговые кредиты, предоставляемые с помощью смарт-контрактов. Они были разработаны компанией Aave, одной из ведущих платформ DeFi. Для них не нужны кредитные проверки, лимиты и, что более важно, не нужен залог.

Традиционно существует два типа кредитов: с обеспечением и без. Для первых нужен залог, проверка кредитоспособности. Кроме того, у них есть определенные лимиты. Для кредитов без обеспечения залог не требуется. Это означает, что любой человек может взять любую сумму без предоставления активов в качестве обеспечения. Флеш-кредиты не требуют обеспечения. Это продукт из сферы DeFi.

Loan

По словам команды Aave, флеш-кредиты — первые беззалоговые кредиты в этом пространстве. Они были специально разработаны для того, чтобы пользователи и разработчики могли легко и мгновенно заимствовать активы без залога. Флеш-кредиты предлагают отличную возможность для арбитражной торговли.

Арбитражная торговля позволяет использовать разницу в цене активов на нескольких криптобиржах. Например, если цена токена составляет $10 на бирже X и $13 на бирже Y, пользователь может использовать флеш-кредит, чтобы взять $1 000 и купить 100 токенов на бирже X, а затем продать их на бирже Y за $1 300.

Что такое атаки с помощью флеш-кредита

Attack

Такие атаки используют смарт-контракты платформы DeFi, где злоумышленник берет в долг значительную сумму без залога. Затем он манипулирует ценой токена или актива на одной бирже и продает его на другой.

Атаки с помощью флеш-кредита — самый распространенный и дешевый тип атак в индустрии DeFi. Несколько лет назад эта тенденция стала популярной, и атаки стали часто повторяться. Совершаются они быстро. Когда злоумышленник получает кредит, то немедленно начинает искусственную распродажу, что приводит к заметному падению цены активов.

Злоумышленники не только проводят искусственную распродажу, но и используют различные уловки и схемы, чтобы манипулировать рынком в свою пользу. Такие атаки быстро реализуются. С их помощью мошенники обходят многие протоколы безопасности DeFi.

Примеры атак с помощью флеш-кредита

Атака Alpha Amora

Это самая крупная атака с помощью флеш-кредита. Она была проведена в 2021 году на Iron Bank, кредитную платформу Cream Protocol. В результате этой атаки были потеряны рекордные 37 миллионов долларов.

Злоумышленник неоднократно занимал sUSD у Iron Bank через децентрализованное приложение Alpha Amora (DApp). Атака происходила по модели двух транзакций, когда хакер одалживал взятые в долг sUSD обратно Iron Bank, что позволяло ему получить Yearn Synth USD в качестве вознаграждения. Хакер занял 1,8 миллиона USD Coins у Aave, обменял их на sUSD с помощью платформы Curve и использовал sUSD для погашения кредита в Iron Bank. Это позволило ему продолжать занимать и возвращать деньги, зарабатывая все больше cySUSD.

Мошенник провернул схему несколько раз, чтобы украсть как можно больше средств. В общей сложности хакер одолжил 13 тысяч WETH (обернутый эфир), 5,6 миллиона USDT, 3,6 миллиона USDC и 4,2 миллиона DAI.

Атака PancakeBunny

Печально известная атака PancakeBunny в 2021 году на платформу агрегатора фарминга доходности на основе сети BSC оказала разрушительное воздействие на проект и рынок. В результате взлома стоимость токена PancakeBunny упала более чем на 96%, поэтому эта атака считается одной из самых известных атак с помощью флеш-кредитов.

Преступник одолжил значительное количество BNB через PancakeSwap и использовал токены для манипулирования ценой торговых пар USDT/BNB и BUNNY/BNB. Хакер украл большую сумму денег, манипулируя ценами, что привело к значительному падению стоимости BUNNY. Согласно имеющимся данным, хакер похитил в общей сложности 3 миллиона долларов. Однако в результате потери составили 200 миллионов долларов, поскольку цена токена рухнула.

Атака Cream Finance

Атака Cream Finance была сложной — злоумышленник использовал множество схем и стратегий. Это произошло в 2021 году, когда хакер занял $1,5 млрд из хранилища Yearn Protocol. С залогом в $2 млрд злоумышленник удвоил стоимость, пожертвовав заемные средства обратно в Yearn Protocol.

Атака с помощью криптозаймов ApeRocket

Атака с помощью флеш-кредита ApeRocket произошла в 2021 году. Она была проведена с помощью двух отдельных, но взаимосвязанных процессов.

Сначала хакер взял в долг крупную сумму $CAKE и $AAVE, 99% которой хранилось в хранилище ApeRocket. Затем преступник отправил средства в хранилище протокола, что заставило проект майнить больше токенов, чтобы учесть полученные дополнительные средства. Наконец, хакер продал токены, что привело к потере $1,26 млн и катастрофическому обвалу токена протокола ApeRocket (SPACE) более чем на 63%.

Атака на Platypus Finance

В 2023 году протокол Platypus Finance подвергся катастрофической атаке с помощью флеш-кредитов. Хакер занял 44 миллиона USDC у протокола Aave, использовал эти средства для стейкинга, а затем занял еще больше у Platypus Finance. Он выполнил экстренный вывод средств из протокола, не вернув заимствованные USDC.

Эта атака, в отличие от большинства других, стала возможной благодаря уязвимости в стейкинге платформы. Статус хакера не был проверен до вывода средств. В результате этой атаки было потеряно более 8,5 миллиона долларов.

Как предотвратить атаки с помощью флеш-кредитов

С ростом числа таких атак стало очевидно, что нет единого работающего решения этой проблемы. Можно лишь предпринять меры, которые снизят уязвимость к ним. Перечислим некоторые из них.

Инструменты обнаружения

Одна из основных причин атак с помощью флеш-кредитов — долгое время реакции разработчиков платформы DeFi. Однако выявить такую атаку можно только после того, как она произошла. Поэтому нужны эффективные инструменты обнаружения.

Эти инструменты предназначены для того, чтобы разработчики и менеджеры проектов могли обнаруживать эксплойты смарт-контрактов и другие нестандартные действия пользователей. Оперативное обнаружение позволяет разработчикам действовать быстро и максимально нейтрализовать взломы. Большинство протоколов DeFi установили десятки таких инструментов кибербезопасности для смягчения последствий таких вредоносных атак.

Децентрализованные оракулы для получения данных о ценах

Это еще один эффективный способ предотвращения атак с помощью флеш-кредитов. Наиболее востребованы на рынке такие оракулы, как ChainLink и Band Protocol.

Ранее взломанные протоколы DeFi, такие как Alpha Amora, в прошлом году запустили агрегатор оракулов и с тех пор смогли обнаруживать атаки до их возникновения.

Подтверждение транзакций двумя блоками

Исследовательская группа Dragonfly предложила использовать два блока подтверждения для транзакций. Это не гарантирует оптимальной безопасности, поскольку хакеры могут проводить атаки на оба блока. Однако такой подход позволяет управлять рисками, поскольку помогает снизить и полностью исключить атаки с помощью флеш-кредитов.

Прерыватели цепи

Еще один способ своевременно предотвращать атаки с помощью флеш-кредитов — блокировка крупных перемещений средств. Это мешает злоумышленникам легко манипулировать рынком.

Внедрение временных задержек (снижение скорости транзакций в секунду) и увеличение стоимости обработки флеш-кредита — также эффективные способы защититься от злоумышленников.

Почему атаки с помощью флеш-кредитов так распространены

На это есть несколько причин.

  • Они дешевые — это самые простые и доступные атаки на протоколы DeFi. Хакерам просто нужен доступ к пулу ликвидности, чтобы занять средства без залога. Любой желающий может с легкостью осуществить такую атаку.

  • Арбитражная торговля — использование колебаний цен на активы на криптобиржах — позволяет легко проводить атаки с помощью флеш-кредитов. В мире существуют сотни бирж, из-за чего определить реальную цену криптоактива очень сложно.

  • Показатель текущего уровня успешных атак — процент успешных атак с помощью флеш-кредитов. С 2021 года хакеры за короткий период времени умудрились получить миллионы долларов США от атак с помощью флеш-кредитов.

Прекратятся ли атаки с помощью флеш-кредитов

Как и другие вредоносные атаки в криптоиндустрии, такие атаки вряд ли прекратятся. Однако можно принять меры по снижению рисков. Разработка и внедрение передовых инструментов обнаружения может изменить парадигму DeFi-протоколов. Эти инструменты могут эффективно обнаруживать необычные движения в протоколе и немедленно уведомлять команду разработчиков.

Часто задаваемые вопросы (FAQ)

Что такое атака с помощью флеш-кредита?

В атаке с помощью флеш-кредита хакеры используют смарт-контракты DeFi-протокола, чтобы занять большую сумму с нулевым залогом и не вернуть ее.

Реальна ли атака с помощью флеш-кредита?

Да, такие атаки реальны. Яркие примеры: взломы PancakeBunny, Cream Finance, Alpha Amora и Platypus Finance. Эти протоколы понесли большие финансовые потери.

Каковы этапы атаки с помощью флеш-кредита?

Сначала хакеры занимают средства у протокола, используя навыки манипулирования рынком, а затем сбрасывают токены. Такие действия привели к краху несколько протоколов DeFi.

Похожие статьи
Показать еще
DEX DeFi generic
DeFi
Что такое автоматический маркет-мейкер (АММ) в криптовалюте?
Автоматические маркет-мейкеры (АММ) — это разновидность децентрализованной криптовалютной торговой платформы, которая использует смарт-контракты для обмена токенами и другими активами. В отличие от це
25 апр. 2024 г.
trade-academy-spot-3
Альткоин
DeFi
Полное руководство по различным типам криптовалютных эйрдропов
В новейшей истории индустрия криптовалют превратилась в одну из крупнейших развивающихся отраслей на рынке. Как и в любой развивающейся отрасли, в не регулярно запускаются новые и захватывающие проект
25 апр. 2024 г.
Forward Contracts vs. Futures Contracts What Are the Differences
Блокчейн
DeFi
Что такое блокчейн-оракул?
В последние годы технология «блокчейн» приобрела значительную популярность благодаря возможности в корне изменить множество отраслей человеческой жизни. Однако для эффективной работы блокчейнов требую
25 апр. 2024 г.
Crypto Faucet What Is It and How Does It Work
GameFi
Криптовалютные краны: что это такое и как работает?
самой маленькой единице биткоина Криптокраны — это онлайн-платформы, которые вознаграждают пользователей небольшими суммами криптовалюты за выполнение простых задач. Идея криптокранов заключается в том, чтобы люди могли познакомиться миром криптовалют без первоначальных вложений. В этом руководстве мы расскажем, что такое криптокраны, как они работают, а также дадим советы по их безопасному и ответственному использованию.
25 апр. 2024 г.
Forward Contracts vs. Futures Contracts What Are the Differences
NFT
Руководство для новичков: как создать NFT с помощью Stable Diffusion
За последние несколько лет искусственный интеллект (ИИ) прошел долгий путь. В конце 2022 — начале 2023 года ChatGPT взял мир штурмом, поразив всех своими возможностями. Искусственный интеллект также с
25 апр. 2024 г.
trade-academy-beginner-4
Безопасность
Самостоятельное хранение
Что такое бумажные кошельки и как они работают
Чтобы обеспечить безопасность криптовалют, часто рекомендуют вывести монеты с биржи и хранить их в личном кошельке. В криптоиндустрии даже есть поговорка — не ваши ключи, не ваши монеты. Есть множеств
25 апр. 2024 г.
Показать еще