Експерт: блискавичні позики Ethereum DeFi становлять загрозу
Блискавичні атаки на децентралізовані фінансові платформи (DeFi) стануть новою Нормою, за словами Хасіба Куреші, керуючого директора Dragonfly Capital, фондів ризику криптовалюти.
Після послідовних атак на платформу DeFi bZx індустрії Ethereum переосмислити інсайдери, такі як децентралізований фінансовий рух, який дозволяє користувачам у токенізованій маржинальній торгівлі та кредитуванні отримувати з поганими акторами кільця, які можуть бути дірками в системі експлуатувати. Куреші очікує напливу атак.
Ми бачили в останніх bZx-Hacks перші ознаки цього, і я підозрюю, що це лише вістря.
Атака на BzX відбулася у швидкій послідовності, перша атака на сталеві 350 000 доларів США в Ethereum (ETH) кредитної платформи Fulcrum of the Startups. Перша атака 14. Лютого була розпочата, включала серію маневрів для досягнення прибутку в 1,193 ETH, на даний момент становить 275,344 долара.
Було відкрито флеш-кредит dYdX на 10 000 ETH.
5500 ETH було надіслано Compound для забезпечення позики в 112 wBTC.
1300 ETH було надіслано на Fulcrum pToken sETHBTC5x, що в 5 разів перевищує коротку позицію відносно коефіцієнта відкриття ETHBTC.
Було запозичено 5637 ETH, а резерв Uniswap від Kyber обміняно на 51 WBTC, що призвело до значного падіння ціни.
Зловмисник замінив 112 WBTC, які він позичив у Compound, на 6871 ETH Uniswap, що призвело до прибутку.
Флеш-кредит у розмірі 10 000 ETH у dYdX був повернений із виручених коштів.
Більша імітаційна атака відбулася через кілька днів, коли було знищено 2,388 ETH на суму 559 000 доларів. Співзасновник Кайл Кістнер охарактеризував атаку в телеграм-каналі bZx як «атаку маніпуляції оракулами». Куреші пише:
Блискавичні атаки мають серйозний вплив на безпеку. Я все більше переконуюся, що флеш-кредити дійсно безкоштовні, флеш-атаки – і капіталомісткі атаки, які фінансуються флеш-кредитами.
Позики Lightning добре підходять для ланцюгів блоків, оскільки вони дозволяють повторно розраховувати цілі транзакції. Якщо кредит не надіслано кодеру, ETH — позичальнику, позичальник зможе повернути борг, кредитор позики за допомогою смарт-контракту, ви повинні скасувати силу початкової транзакції нанівець, каже Еміліо Франгелла, розробник Fintech Startups Aave:
Здається, що ризик абсолютно безкоштовний, чи не так? Ну, не зовсім. Хоча ризик дуже низький, але існує певний ступінь ризику, пов’язаного зі смарт-контрактами, і базовий рівень (самий блокчейн) все ще існує. Блискавичні позики використовують конкретну умову для роботи, щоб забезпечити повернення коштів у кінці виконання. Існує віддалена ймовірність того, що помилка в байт-коді контракту або на більш глибокому рівні знайдена в EVM [віртуальній машині Ethereum], яка може дозволити зловмиснику обійти цю умову, все ще існує.
У той час як DeFi-рух намагається порушити традиційні фінанси у великих масштабах, відкривши в перший день двері для анонімних акторів, які можуть дестабілізувати порушників порядку, сказав Куреші, продовжує:
З флеш-позиками зловмисникам не потрібен скін у грі. Блискавична позика істотно змінює ризики для зловмисника.
Натиснувши кнопку «Скинути» у програмі стимулювання, бліц-позики стають поворотним моментом, який приносить нові виклики. Додає Куреші,
Я вважаю, що флеш-кредити становлять велику загрозу безпеці. Але блискавичні позики не зникнуть, і нам потрібно ретельно подумати, який вплив вони матимуть на майбутню безпеку DeFi.
