Πώς χρησιμοποιούνται τα δάνεια Flash για τη χειραγώγηση της αγοράς κρυπτογράφησης

Σύμφωνα με μια πρόσφατη έκθεση, οι επιθέσεις με αστραπιαία δάνεια αυξάνονται. Ποιες είναι αυτές και ποιοι οι κίνδυνοι;

Φανταστείτε να μπορείτε να λάβετε ένα δάνειο σχεδόν απεριόριστου μεγέθους χωρίς να βάλετε εξασφαλίσεις. Υπάρχει μόνο ένα πιάσιμο. Πρέπει να το επιστρέψετε σχεδόν αμέσως. Ακούγεται περίεργο; Μάλλον το κάνει. Αλλά αυτό ακριβώς είναι ένα δάνειο φλας. Όπως υποδηλώνει το όνομα, αυτά τα δάνεια πραγματοποιούνται σχεδόν ακαριαία. (Σκεφτείτε τον υπερήρωα της DC Comic, The Flash, που μπορεί να ταξιδέψει με την ταχύτητα του φωτός.)

Μια πρόσφατη έκθεση του De.Fi δείχνει ότι τα δάνεια φλας αυξάνονται και οι κακοί παράγοντες τα χρησιμοποιούν σε έναν αυξανόμενο αριθμό εκμεταλλεύσεων. Το πρώτο τρίμηνο του τρέχοντος έτους, χάθηκαν 1 εκατομμύρια δολάρια μέσω αυτού του στυλ εκμετάλλευσης. 

Αλλά γιατί κάποιος να θέλει να πάρει ένα σχεδόν στιγμιαίο δάνειο; Λοιπόν, όπως πολλά πράγματα στην κρυπτογράφηση, καταλήγει σε καλές αποδόσεις.

Επεξηγούνται τα Flash Loans και οι Flash Loan Attacks

Η λογική των φλας δανείων βασίζεται στο arbitrage, τη διαδικασία εκμεταλλεύσεως των μικρών διαφορών τιμών. Σε αντίθεση με άλλα είδη δανείων, τα έκτακτα δάνεια δεν απαιτούν μακρά διαδικασία έγκρισης, επομένως μπορούν να εκτελεστούν γρήγορα. «Δεδομένων των χαμηλών προμηθειών που σχετίζονται με το δάνειο μιας συναλλαγής, υπάρχει τεράστια δυνατότητα για υψηλές αποδόσεις», εξήγησε ο Artem Bondarenko, Αρχιτέκτονας Λογισμικού στο De.Fi, σε συνέντευξή του στο BeInCrypto. «Για τους πιστωτές ενός έκτακτου δανείου, δεν υπάρχουν κίνδυνοι καθώς το δάνειο επιστρέφεται αμέσως. Διαφορετικά, η συναλλαγή αποτυγχάνει."

Στα παραδοσιακά χρηματοοικονομικά, δεν υπάρχει τίποτα ακριβώς όπως ένα στιγμιαίο δάνειο. Είναι παρόμοιο με μια επιλογή κλήσης, αλλά με ορισμένες σημαντικές διαφορές. Με ένα στιγμιαίο δάνειο, μπορείτε να χρησιμοποιήσετε τα χρήματα που έχετε δανειστεί αμέσως, ενώ με μια επιλογή κλήσης, πρέπει να περιμένετε. Επίσης, στα παραδοσιακά χρηματοοικονομικά, οι συναλλαγές γίνονται συνήθως μία κάθε φορά, ενώ με τα στιγμιαία δάνεια γίνονται σε μπλοκ. Ωστόσο, αυτά τα βραχυπρόθεσμα μέσα δεν είναι εντελώς χωρίς αρνητικό, όπως περιγράφει η έκθεση του De.Fi.

«Μια επίθεση φλας δανείου λαμβάνει χώρα όταν κάποιος είναι σε θέση να δανειστεί ένα τεράστιο ποσό σε ένα μέρος και να το χρησιμοποιήσει για να χειραγωγήσει τις τιμές αγοράζοντας ή πουλώντας σε μεγάλες ποσότητες, επηρεάζοντας έτσι την τιμή ενός περιουσιακού στοιχείου», είπε ο Bondarenko. «Στη συνέχεια, χρησιμοποιώντας αυτήν την αλλαγή στην τιμή για να εκμεταλλευτούμε την αντίθετη αγορά ή πώληση από την άλλη πλευρά, δημιουργώντας αρμπιτράζ μεταξύ των τιμών στα δύο μέρη, στη συνέχεια αποπληρώνοντας το αρχικό δάνειο και τσέποντας τη διαφορά».

«Εάν το πρωτόκολλο ρευστότητας έχει σχεδιαστεί σωστά με τους σωστούς χρησμούς τιμολόγησης, αυτό δεν θα πρέπει να αποτελεί πρόβλημα, αλλά σε περιπτώσεις όπου ο σχεδιασμός είναι κακός, είναι μια ευπάθεια που μπορεί να εκμεταλλευτεί και να οδηγήσει σε μαζική εκκαθάριση», πρόσθεσε ο Bondarenko.

Ποια είναι τα θύματα;

Τα δάνεια flash είναι ελκυστικά για τους επιτιθέμενους επειδή επιτρέπουν τον δανεισμό μεγάλων ποσών κρυπτονομισμάτων χωρίς την παροχή εξασφαλίσεων. Για την αποτροπή τέτοιων επιθέσεων, μπορούν να εφαρμοστούν καλύτερα μέτρα ασφαλείας, όπως έλεγχοι κώδικα και ισχυρός σχεδιασμός έξυπνων συμβολαίων, και να αυξηθεί η ευαισθητοποίηση για πιθανούς φορείς επίθεσης στο οικοσύστημα DeFi.

Στις 13 Μαρτίου, το Euler Finance, ένα γνωστό πρωτόκολλο δανεισμού που βασίζεται στο Ethereum, παραβιάστηκε και ο εισβολέας έκλεψε διαφορετικά κρυπτονομίσματα αξίας εκατομμυρίων δολαρίων, όπως Dai, USDC, Staked Ethereum και Wrapped Bitcoin, εκτελώντας πολλαπλές συναλλαγές. 

Το συνολικό ποσό που κλάπηκε ήταν σχεδόν 196 εκατομμύρια δολάρια, με 8.7 εκατομμύρια δολάρια σε Dai, 18.5 εκατομμύρια δολάρια σε WBTC, 135.8 εκατομμύρια δολάρια σε SteTH και 33.8 εκατομμύρια δολάρια σε USDC. 

Ο εισβολέας μετέφερε τα κλεμμένα χρήματα από το Binance Smart Chain στο Ethereum χρησιμοποιώντας μια γέφυρα πολλαπλών αλυσίδων και, στη συνέχεια, πραγματοποίησε την επίθεση δανείου flash. Κατέθεσαν τα κλεμμένα κεφάλαια στο Tornado Cash, έναν γνωστό μίκτη κρυπτογράφησης, για να περιπλέξουν τις προσπάθειες ανάκτησης και να κρύψουν την ταυτότητά τους.

Τον προηγούμενο μήνα, στις 16 Φεβρουαρίου, η Platypus Finance, μια αυτοματοποιημένη διαπραγματευτής, υπέστη μια ξεχωριστή επίθεση δανείου. Ο εισβολέας έκλεψε stablecoins αξίας 8,500,887 $, συμπεριλαμβανομένων των USDC, USDT, BUSD και DAI. 

Σε αυτήν την περίπτωση, ο εισβολέας εκμεταλλεύτηκε μια ευπάθεια στον μηχανισμό ελέγχου φερεγγυότητας του USP. Στη διαδικασία, ο εισβολέας εξασφάλισε ένα στιγμιαίο δάνειο 44,000,000 USDC και στη συνέχεια το αντάλλαξε με 44,000,000 Platypus LP-USD. Στη συνέχεια έκοψαν 41,700,000 USP tokens χωρίς κόστος, τα οποία ανταλλάχθηκαν με διάφορα stablecoins. 

Η Platypus Finance συνεργάζεται με υπηρεσίες τρίτων για να δεσμεύσει τα κλεμμένα περιουσιακά στοιχεία και ορισμένα έχουν ήδη δεσμευτεί. Το κακόβουλο συμβόλαιο καταργήθηκε και εφαρμόστηκαν πρόσθετα μέτρα ασφαλείας για την αποφυγή μελλοντικών επιθέσεων. Ωστόσο, ο δράστης κατάφερε να μεταφέρει μερικά από τα κλεμμένα κεφάλαια.

Πώς να μειώσετε τους κινδύνους;

Κατά έναν τρόπο, τα Flash Loans είναι ένας από τους σπουδαίους ισοσταθμιστές της κρυπτογράφησης. Επιτρέπουν σε εμπόρους με λιγότερα κεφάλαια να συμμετάσχουν σε συναλλαγές υψηλής ανταμοιβής που συνήθως θα ήταν ανοιχτές μόνο στις λεγόμενες Φάλαινες. «Όμως, όπως έχουμε δει πολλές φορές, τα δάνεια flash ενέχουν επίσης μεγάλο κίνδυνο για τα πρωτόκολλα DeFi που δεν λαμβάνουν υπόψη τέτοια πράγματα», είπε στο BeInCrypto ο Adrian Hetman, Τεχνικός Επικεφαλής της ομάδας triaging της Immunefi.

«Τα πρωτόκολλα δεν θα πρέπει να προστατεύονται μόνο από πιθανές επιθέσεις που ενεργοποιούνται από δάνεια flash, αλλά και από επιθέσεις Whale, δηλαδή, τι θα συνέβαινε εάν οι μεγάλοι παίκτες ξαφνικά χρησιμοποιούσαν τα τεράστια κεφάλαιά τους για να χρησιμοποιήσουν το πρωτόκολλό μας; Το σύστημα θα συμπεριφερόταν όπως έπρεπε; Ποια είναι η «προβλεπόμενη» επιχειρηματική μας ροή;» Ο Χέτμαν συνέχισε. «Η μοντελοποίηση απειλών θα βοηθούσε στην αποκάλυψη πιθανών αδυναμιών του συστήματος».

«Χρησιμοποιώντας τη χρονικά σταθμισμένη μέση τιμή (TWAP), οι χρησμοί μπορούν να βοηθήσουν στην ελαχιστοποίηση της χειραγώγησης των τιμών υπολογίζοντας τον μέσο όρο των τιμών σε μια συγκεκριμένη χρονική περίοδο, καθιστώντας πιο δύσκολο για τους εισβολείς να χειριστούν τις τιμές σε μία μόνο συναλλαγή. Επιπλέον, η εφαρμογή συστημάτων πολλαπλών μαντείων μπορεί να προσφέρει πλεονασμό και διασταυρούμενο έλεγχο για δεδομένα τιμών, ενισχύοντας περαιτέρω την άμυνα έναντι της χειραγώγησης», πρόσθεσε ο Hetman.

Με την εφαρμογή διακοπτών κυκλώματος, οι εισβολείς φλας δανείων μπορούν να αποτραπούν από το να επωφεληθούν από τις παραποιημένες τιμές όταν εντοπίζονται σημαντικές διακυμάνσεις τιμών, εξήγησε ο Hetman. «Μόλις εντοπιστεί και αντιμετωπιστεί η αιτία της μεταβολής των τιμών, οι συναλλαγές μπορούν να επαναληφθούν. Αυτό πρέπει να περιλαμβάνει πιθανές έγκυρες συναλλαγές που μπορεί να φαίνονται ύποπτες μόνο από έξω."

«Είναι επίσης σημαντικό να μην επιτρέπουμε σημαντικές ενέργειες πρωτοκόλλου να γίνονται μόνο σε ένα μπλοκ. Τα δάνεια flash, τις περισσότερες φορές, μπορούν να ληφθούν μόνο σε μία συναλλαγή για ένα μπλοκ», πρόσθεσε ο Hetman.