Entschlüsselt #05 | Warum sind Flash Loans eine neue Art von Angriff?

Blitzkredite standen in letzter Zeit im Rampenlicht, da mehr Vorfälle von Gelddiebstahl aus DeFi-Protokollen passieren...

Flash-Darlehen standen in letzter Zeit im Rampenlicht, da weitere DeFi-Protokoll-Diebstähle aufgetreten sind, von Harvest Finance , das für über 33 Millionen US-Dollar gehackt wurde, bis hin zum jüngsten OUSD-Vorfall, 7 Millionen US-Dollar-Mining. 

Aus Sicht des Hackers sieht dieser Angriff nach einer großartigen Gelegenheit aus, sofort Hunderttausende von Dollar von einer mittellosen Person im Wert von ETH zu leihen. Leiten Sie es dann durch anfällige On-Chain-Protokolle und ziehen Sie Hunderte von Dollar aus ihrer Tasche und zahlen Sie ihr Darlehen zurück. All dies geschah im Handumdrehen bei einer Ethereum-Transaktion. 

Wir wissen nicht, wer diese Angreifer sind oder woher sie kommen. Sie alle begannen mit nichts und gingen mit Geld im Wert von Hunderttausenden von Dollar davon und hinterließen keine Spur zur Identifizierung. 

Was sind Blitzkredite? 

Das Konzept der Flash-Darlehen wurde erstmals 2018 von Max Wolff, dem Schöpfer von Marble Protocol, eingeführt.

Flash-Darlehen, die üblicherweise für Ethereum oder ERC20 verwendet werden, werden nur für die Zeit ausgeliehen, die erforderlich ist, um einen Block von Transaktionen in der Blockchain abzuschließen. Solange der Kredit vor Beginn des nächsten Transaktionsblocks zurückgezahlt wird, entstehen dem Kreditnehmer keine Zinskosten.

Wenn herkömmliche Kreditgeber zwei Arten von Risiken tragen: das Ausfallrisiko oder das Liquiditätsrisiko, löst Flash Loans diese beiden Probleme. Grundsätzlich funktionieren Blitzkredite wie folgt: 

Ich leihe Ihnen den gewünschten Betrag in einer einzigen Transaktion. Aber am Ende dieser Transaktion müssen Sie mir mindestens den Betrag zurückzahlen, den ich Ihnen geliehen habe. Wenn Sie nicht bezahlen, werde ich Ihre Transaktion automatisch wiederherstellen, was bedeutet, dass sie nie begonnen hat. 

Das gibt es nur auf der Blockchain. Sie können auf BitMex keine Flash-Darlehen vergeben. Da der Smart Contract jede Transaktion verarbeiten kann, wird alles, was in der Transaktion passiert, sequentiell ausgeführt. Sie können dies als "Einfrierzeit" Ihrer Transaktion betrachten, während die Transaktion im Gange ist.

Traditionelle Kreditgeber werden für zwei Dinge entschädigt: das Risiko, das sie eingehen (Ausfall- und Illiquiditätsrisiko) und die Opportunitätskosten des von ihnen verliehenen Kapitals. 

Blitzkredite sind anders. Blitzkredite haben wirklich kein Risiko und keine Opportunitätskosten! Dies liegt daran, dass Kreditnehmer für die Dauer ihrer Flash-Darlehen „eingefrorene Zeit“ sind, sodass das Kapital des Systems niemals gefährdet ist und niemals ausgebremst wird, sodass es an anderer Stelle keine Zinsen verdienen kann (d. h. es hat keine Opportunitätskosten).

Das bedeutet, dass es keine Kosten gibt, ein Flash-Lender zu werden. Wie viel kosten Flash-Darlehen im Gleichgewicht?

Grundsätzlich sind Blitzkredite kostenlos. Oder besser gesagt, eine Gebühr, die gering genug ist, um die Kosten zu amortisieren, beinhaltet 3 zusätzliche Codezeilen, damit sich die Eigenschaft schnell anbieten kann.

Flash-Darlehen können nicht auf herkömmliche Weise verzinst werden, da das Darlehen für die Nullzeit gültig ist (jeder effektive Jahreszins * 0 = 0). Und wenn Institutionen, die Flash-Darlehen anbieten, höhere Zinsen verlangen, werden ihnen natürlich schnell niedrigere Zinsen von anderen Flash-Lending-Pools berechnet.

Einige Projekte wenden derzeit gebührenfreie Flash-Darlehen wie dYdX oder AAVE an, die 0,09 % des Kapitalbetrags für Flash-Darlehen verlangen. 

Wofür werden Blitzkredite verwendet? 

Flash Loans waren ursprünglich vor allem für den Arbitragehandel bekannt. Marble, der Schöpfer der Definitionsquelle für Flash-Darlehen, sagt: 

Mit Flash-Darlehen können Händler in nur einer Transaktion Geld von der Marble Bank leihen, Token auf einem DEX kaufen, Token auf einem anderen DEX zu einem höheren Preis verkaufen, Bankdarlehen zurückzahlen und Arbitrage-Gewinne in nur einer Transaktion einstreichen .

Tatsächlich werden die meisten Kredite für diesen Zweck verwendet. 

Aber das Volumen ist sehr gering. AAVE hat seit seiner Gründung etwas mehr als 10.000 $ an Darlehen erhalten. Dies ist winzig im Vergleich zum Arbitrage- und Liquidationsmarkt auf DeFi.

Auch weil die meisten Arbitrage-Handel von konkurrierenden Arbitrageure durchgeführt werden, die komplexe Programme ausführen. Sie nehmen an On-Chain-Auktionen für bevorzugtes Gas teil und verwenden Gas-Token, um die Transaktionsgebühren zu optimieren. Es ist ein sehr wettbewerbsintensiver Markt – diese Leute sind vollkommen glücklich, einige Token in ihrer Bilanz zu behalten, um die Erträge zu optimieren.

Auf der anderen Seite kostet die Kreditaufnahme bei AAVE rund 80.000 Gas und verlangt 0,09 % des Kapitals, ein Preis, der für einen wettbewerbsfähigen Arbitrageur mit einer kleinen Marge zu teuer ist. Tatsächlich zahlt der Kreditnehmer bei den meisten AAVE-Arbitrage-Händlern am Ende mehr Gebühren an den Kreditpool, als er einnimmt.

Langfristig ist es unwahrscheinlich, dass Arbitrageure Flash-Darlehen verwenden, außer in Ausnahmefällen.

Aber Flash-Darlehen haben andere, überzeugendere Anwendungsfälle in DeFi. Ein Beispiel ist die Refinanzierung von Krediten. 

Beispiel: Nehmen wir an, Sie haben einen Maker Vault (CDP) mit $100 ETH darin eingeschlossen und Sie haben sich 40 DAI daraus geliehen. Sie haben also eine Nettoposition von 60 $ abzüglich der Schulden. Jetzt möchten Sie sich für einen besseren Zinssatz  in Compound refinanzieren.

Normalerweise ist es notwendig, 40 DAI extern zurückzukaufen, vielleicht an dieser Börse, um das CDP aufzustocken, da es etwas Vorabkapital erfordert. Stattdessen können Sie ein schnelles 40-DAI-Darlehen aufnehmen, 100 $ CDP schließen, 60 $ freigeschaltete ETH in Compound einzahlen, weitere 40 $ ETH über Uniswap wieder in DAI umwandeln und damit Flash-Darlehen bezahlen.

Flash-Darlehensangriffe haben große Auswirkungen auf die Sicherheit 

Die ersten Vorfälle gingen auf den bZx- Hack zurück und vielleicht war dies die Fackel, die weitere Angriffe auslöste.  

Es gibt zwei Hauptgründe, warum Flash-Kredite für Angreifer besonders attraktiv sind.

Viele Angriffe erfordern viel Vorabkapital (z. B. Orakelmanipulationsangriffe). 

Flash-Darlehen verringern das Risiko, Angreifern ausgesetzt zu werden. Wenn ich eine Idee habe, wie ich das Orakel mit 10 Millionen Dollar Ether manipulieren kann, selbst wenn ich so viel Ether besitze, möchte ich vielleicht mein Kapital nicht riskieren. Meine ETH wird davon betroffen sein, Börsen können meine Einzahlung ablehnen und es wird schwieriger für das Geld zu fließen. Ein ziemliches Risiko! Aber wen interessiert es, wenn ich schnell einen Kredit von 10 Millionen Dollar bekomme? Alle sind gegenüber. Es ist nicht so, dass der Hypothekenpool von dYdX als nachteilig betroffen angesehen würde, weil die Kredite von dort stammen.

Es mag Ihnen vielleicht nicht gefallen, dass Börsen-Blacklists Teil des heutigen Blockchain-Sicherheitsparadigmas sind. Es ist ziemlich geheimnisvoll und konzentriert. Aber die Realität ist angesichts der Berechnung hinter diesen Angriffen ziemlich wichtig.

Im Bitcoin-Whitepaper erklärte Satoshi, dass Bitcoin vor Angriffen sicher ist, weil:

„[Der Angreifer] sollte es profitabler finden, sich an die Regeln zu halten […], als das System und seinen eigenen Vermögenswert zu zerstören.“

Mit Flash-Darlehen müssen Angreifer nicht mehr viel Geld für das Spiel ausgeben. Flash-Darlehen verändern das Risiko für Angreifer dramatisch.

Und denken Sie daran, dass sich Blitzkredite häufen können! Unter der Gasobergrenze können Sie alle schnell ausleihbaren Mittel in einer einzigen Transaktion (bis zu 50 Millionen US-Dollar) zusammenfassen und das gesamte Kapital auf einen anfälligen Vertrag reduzieren. Es ist ein riesiges 50-Millionen-Dollar-Memory, dem jetzt jeder beitreten kann, solange es Geld gibt. Es ist so gruselig!

Natürlich können Sie jetzt kein Protokoll angreifen, wenn Sie nur viel Geld haben. Wenn DeFi so sicher ist, wie es behauptet wird, spielt das alles keine Rolle, welche Art von Protokoll ist nicht sicher gegen Wale? Nicht, dass es nur Fahrlässigkeit war.

Wir könnten jedoch sehen, dass Ethereum selbst einem 51-%-Angriff für weniger als 200.000 $/Stunde ausgesetzt ist. Wenn das eigene Sicherheitsmodell von Ethereum im Wesentlichen auf Kapitalbeschränkungen aufgebaut ist, warum gehen wir dann so schnell davon aus, dass DeFi-Anwendungen für nur 10 Millionen US-Dollar erfolgreich gehackt werden können?la?

Wie können Angriffe auf Flash-Kredite abgeschwächt werden?

Nehmen wir an, ich bin ein DeFi-Protokoll und möchte vermeiden, von Flash-Darlehen angegriffen zu werden. Die erste Frage ist, kann ich erkennen, ob die Benutzer, die mit mir interagieren, Flash-Darlehen verwenden?

Die einfache Antwort ist nein!

EVM erlaubt Geschwistern nicht, Speicher aus anderen Verträgen zu lesen. Wenn Sie also wissen wollen, was in einem anderen Vertrag vor sich geht, wird es Ihnen dieser Vertrag sagen. 

Wer also wissen will, ob Blitzkredite genutzt werden, muss direkt beim Vertrag nachfragen. Heutzutage reagieren viele Kreditprotokolle nicht auf solche Anfragen (und es gibt keine Möglichkeit, das durchzusetzen, was ein Express-Kreditgeber tut). 

Und selbst wenn Sie versucht haben, eine solche Abfrage zu testen, kann es leicht sein, mit einem Autorisierungsvertrag oder durch Verknüpfungen zwischen Schnellleihgruppen fehlgeleitet zu werden. Generell lässt sich nicht pauschal sagen, ob Einleger Blitzkredite nutzen oder nicht.

Genau wie jemand, der an Ihre Tür klopft und mit einem Koffer voller 10 Millionen Dollar vor Ihnen steht, können Sie nicht sagen, ob es sein Geld ist oder nicht. Recht? 

Wie kann man sich vor Blitzkreditangriffen schützen? 

Hören Sie auf, Flash-Darlehen anzubieten 

Im Ernst, der Versuch, die Kreditgeber dazu zu bringen, keine Blitzkredite mehr anzubieten, ist wie der Versuch, die Lärmbelästigung zu stoppen. 

Die Bereitstellung von Schnellkrediten unterliegt den persönlichen Interessen jedes Protokolls, und es gibt gute Gründe, warum ihre Benutzer diese Funktionalität wünschen. So können wir dies sicher entfernen. 

Erzwingen, dass wichtige Transaktionen zwei Blöcke dauern

Denken Sie daran, dass Flash-Darlehen es Ihnen ermöglichen, Geld für die Dauer einer einzelnen Transaktion zu leihen. Wenn Sie eine kapitalintensive Transaktion anfordern, die sich über zwei Blöcke erstreckt, müssen die Benutzer mindestens zwei Blöcke ausleihen, um alle Flash-Darlehensangriffe abzuwehren. (Hinweis: Damit dies funktioniert, müssen Benutzer ihren Wert zwischen den beiden Blöcken sperren, um zu verhindern, dass sie den Kredit zurückzahlen).

Offensichtlich führt dies zu einem UX-Kompromiss: Es bedeutet, dass Transaktionen nicht mehr synchron sind. Es ist attraktiv für Benutzer und sieht auch ziemlich sicher aus.

Viele Entwickler beschweren sich über asynchrone Smart-Contract-Operationen, wie die Interaktion mit Layer-2-Kommunikation oder Cross-Sharding in Ethereum 2.0. 

Ironischerweise schützt die Asynchronität diese Systeme tatsächlich vor Flash-Loan-Angriffen, da Sie einen Shard oder Layer 2 nicht in einer einzigen kleinen Transaktion durchlaufen können. Dies bedeutet, dass es keinen Flash-Loan-Angriff auf ETH 2.0-Shards oder gegen Layer-2-DEXs gibt.

Fordern Sie einen Online-Nachweis des vorherigen Guthabens des Benutzers an

Wir könnten Flash-Darlehensangriffe abwehren, wenn es eine Möglichkeit gäbe, den Nettosaldo eines Benutzers zu ermitteln – d. h. wie hoch sein Saldo war, bevor er einen Kredit aufgenommen hat.

Bevor ein Benutzer mit dem Protokoll einer Plattform interagiert, benötigt die Plattform einen Merkle-Nachweis, der beweist, dass er am Ende des vorherigen Blocks über genügend Guthaben verfügt, um das derzeit verwendete Kapital zu berücksichtigen. Die Plattform muss dies für jeden Benutzer in jedem Block verfolgen.

Diese Lösung hat einige Komplikationen: Die Überprüfung dieser On-Chain-Proofs ist On-Chain extrem teuer, und kein gut gemeinter Benutzer möchte sie generieren und Gasgebühren für das Ganze zahlen. Alternativ können Benutzer ihre Guthaben früher im selben Block aus völlig legitimen Gründen geändert haben. Theoretisch hat es also einen gewissen Wert, aber es ist keine praktische Lösung.

Es gibt keine einzelne Lösung, die Angriffe auf Flash-Kredite vollständig verhindern kann, aber zwei spezifische Anwendungen, die diese Angriffe abschwächen können, sind: marktbasiertes Preisorakel und Governance-Token.

Bei marktbasierten Preisorakeln wie Uniswap oder OasisDEX hindern Flash-Darlehensangriffe Sie daran, aktuelle Mittelkurse wie Orakel zu verwenden. 

Der Plan des Angreifers war es, den durchschnittlichen Marktpreis in einer einzigen Transaktion zu verschieben und einen Flash-Crash zu erzeugen, der das Orakel in Bezug auf den Preis beschädigt.

Die beste Lösung ist hier, einen gewichteten Durchschnitt der letzten X Blöcke über TWAP oder VWAP zu verwenden. Uniswap v2 wird diese Lösung bereitstellen. Es gibt auch Polaris, einen verallgemeinerten Ansatz zur Bereitstellung gleitender Durchschnitte für DeFi-Protokolle, aber Polaris wird seit vielen Jahren eingestellt. 

Die On-Chain-Governance wird normalerweise durch eine münzgewichtete Abstimmung zwischen den Inhabern von Governance-Token bestimmt. Aber wenn sich diese Governance-Token in einem Pool von Flash-Darlehen befinden, kann jeder Angreifer einen riesigen Haufen Münzen nehmen und sich auf das gewünschte Ergebnis verlassen.

Natürlich erfordern die meisten Governance-Protokolle eine Token-Sperre während der Abstimmung, was dazu beiträgt, Flash-Loan-Angriffe abzuwehren. Einige Formen der Abstimmung erfordern dies jedoch nicht, wie z. B. die CO2-Abstimmung oder der Betriebsvertrag des Herstellers. Bei den heutigen Flash-Loan-Angriffen sollten diese Abstimmungsformulare als völlig kaputt angesehen werden.

Am logischsten ist, dass der Governance-Token völlig nicht ausleihbar ist, aber vom Markt abhängt. Daher sollten alle administrativen Aktionen eine Sperre erfordern, um Angriffe auf Flash-Kredite zu verhindern. Das neue COMP-Token von Compound geht noch einen Schritt weiter, indem es alle Abstimmungen des Protokolls zeitlich abstimmt und selbst den gelegentlichen Kreditangriff auf das Governance-Token sofort schwächt.

Im Großen und Ganzen müssen alle Governance-Token Zeit haben. Timelock, das alle Verwaltungsentscheidungen ausführt, muss eine gewisse Zeit warten, bevor sie wirksam werden (für Compound Timelock sind es 2 Tage). Dadurch kann sich das System von unvorhergesehenen administrativen Angriffen erholen.

Bedeutung auf lange Sicht 

Ich glaube, bZx-Angriffe haben alles verändert.

Dies wird nicht der letzte Flash-Loan-Angriff sein. Der zweite bZx-Angriff ist der erste Klon und ich bezweifle, dass er in den kommenden Monaten eine Angriffswelle auslösen wird. 

Und das geschah vollständig, in einer Reihe von Flash-Darlehensangriffen wie Harvest Finance (33,8 Millionen US-Dollar), Value DeFi (7 Millionen US-Dollar), Akro (2 Millionen US-Dollar), Cheese Bank (3,3 Millionen US-Dollar) und zuletzt OUSD (7 Millionen US-Dollar).

Epilog 

Das ist wahrscheinlich eine der Motivationen für Ethereum, schnell auf Ethereum 2.0 umzusteigen. DeFi ist in der PoW-Kette nicht stabil, wenn DeFi-Protokolle auf separaten Shards auf Ethereum 2.0 existieren würden, wären sie nicht anfällig für Flash-Darlehen.

Der Angriff auf Flash-Kredite erinnert uns daran, dass jede Plattform gerade erst anfängt und es lange dauert, eine nachhaltige Architektur für den Aufbau des Finanzsystems der Zukunft zu entwickeln.

Der Artikel wurde aus dem von Dragonfly Research veröffentlichten Originalartikel übersetzt und bearbeitet.