Gedecodeerd #05 | Waarom zijn Flash Loans een nieuw type aanval?

Flash-leningen staan ​​de laatste tijd in de schijnwerpers, omdat er meer incidenten plaatsvinden waarbij geld wordt gestolen uit DeFi-protocollen...

Flash Loans staan ​​de laatste tijd in de schijnwerpers naarmate er meer diefstalincidenten volgens het DeFi-protocol plaatsvinden, van het hacken van Harvest Finance voor meer dan $ 33 miljoen tot het meest recente OUSD-incident.7 miljoen USD mining. 

Vanuit het oogpunt van de hacker lijkt deze aanval een geweldige kans om onmiddellijk honderdduizenden dollars te lenen van een berooid persoon in de waarde van ETH. Geef het vervolgens door aan kwetsbare on-chain-protocollen en haal honderden dollars uit hun zak en betaal hun lening terug. Dit alles gebeurde in een oogwenk in een Ethereum-transactie. 

We weten niet wie deze aanvallers zijn of waar ze vandaan komen. Ze begonnen allemaal met niets en gingen weg met honderdduizenden dollars aan geld en lieten geen spoor achter om te identificeren. 

Wat zijn Flash-leningen? 

Het concept van flitsleningen werd voor het eerst geïntroduceerd door Max Wolff, de maker van Marble Protocol, in 2018.

Flash-leningen die gewoonlijk worden gebruikt voor Ethereum of ERC20, worden alleen geleend voor de tijd die nodig is om een ​​transactieblok op de blockchain te voltooien. Zolang de lening wordt terugbetaald voordat het volgende transactieblok begint, hoeft de lener geen rentekosten te betalen.

Als traditionele kredietverstrekkers twee vormen van risico dragen: wanbetalingsrisico of liquiditeitsrisico, lost Flash Loans deze twee problemen op. Kort gezegd werken flitsleningen als volgt: 

Ik leen u het bedrag dat u wilt in een enkele transactie. Maar aan het einde van deze transactie moet u mij tenminste het bedrag terugbetalen dat ik u heb geleend. Als u niet betaalt, herstel ik uw transactie automatisch, wat betekent dat deze nooit is gestart. 

Dit bestaat alleen op de Blockchain. U kunt geen flitsleningen maken op BitMex. Omdat het slimme contract elke transactie kan verwerken, wordt alles wat er in de transactie gebeurt opeenvolgend uitgevoerd. U kunt dit beschouwen als uw transactie "bevriezingstijd" terwijl de transactie aan de gang is.

Traditionele kredietverstrekkers worden voor twee dingen gecompenseerd: het risico dat ze nemen (wanbetalings- en illiquiditeitsrisico's) en de alternatieve kosten van het kapitaal dat ze uitlenen. 

Flash-leningen zijn anders. Flash-leningen hebben echt geen risico en geen alternatieve kosten! Dit komt omdat leners "bevroren tijd" zijn voor de duur van hun flitsleningen, zodat het kapitaal van het systeem nooit in gevaar komt en nooit wordt gedwarsboomd, dus het kan nergens anders rente verdienen (d.w.z. het heeft geen alternatieve kosten).

Dit betekent dat er geen kosten zijn om een ​​flash lender te worden. Dat gezegd hebbende, hoeveel kosten flitsleningen bij evenwicht?

In principe zijn flitsleningen gratis. Of liever gezegd, een vergoeding die klein genoeg is om de kosten af ​​te schrijven, omvat 3 extra regels code, zodat de woning zich snel kan lenen.

Op flitsleningen kan geen rente op de traditionele manier in rekening worden gebracht, omdat de lening nul tijd geldig is (elke APR * 0 = 0). En natuurlijk, als instellingen die flitsleningen aanbieden hogere rentetarieven rekenen, zullen ze snel lagere rentetarieven in rekening brengen door andere flitskredietpools.

Sommige projecten passen momenteel flitsleningen zonder kosten toe, zoals dYdX of AAVE, die 0,09% van de hoofdsom voor flitsleningen in rekening brengen. 

Waar worden flitsleningen voor gebruikt? 

Flash-leningen waren oorspronkelijk vooral bekend voor arbitragehandel. Marble, de maker van de definitiebron van Flash-leningen, zegt: 

Met flitsleningen kunnen handelaren lenen van Marble bank, tokens kopen op de ene DEX, tokens verkopen op een andere DEX tegen een hogere prijs, bankleningen terugbetalen en arbitragewinsten in slechts één transactie terugbetalen .

Daar worden inderdaad de meeste leningen voor gebruikt. 

Maar het volume is erg klein. AAVE heeft sinds de oprichting iets meer dan $ 10k aan leningen. Dat is minuscuul vergeleken met de arbitrage- en liquidatiemarkt op DeFi.

Ook omdat de meeste arbitragehandel wordt gedaan door concurrerende arbitrageurs die complexe programma's uitvoeren. Ze nemen deel aan on-chain preferente gasveilingen en gebruiken gastokens om transactiekosten te optimaliseren. Het is een zeer competitieve markt - deze mensen zijn heel blij om wat tokens op hun balans te houden om de inkomsten te optimaliseren.

Aan de andere kant kost lenen op AAVE ongeveer 80K gas en kost het 0,09% van het kapitaal, een prijs die te duur is om te betalen voor een concurrerende arbitrageur met een kleine marge. In feite betaalt de lener bij de meeste AAVE-arbitragehandelaren uiteindelijk meer vergoedingen aan de uitleenpool dan ze binnenkrijgen.

Op de lange termijn is het onwaarschijnlijk dat arbitrageurs flitsleningen gebruiken, behalve in uitzonderlijke omstandigheden.

Maar flitsleningen hebben andere, meer dwingende use-cases in DeFi. Een voorbeeld is het herfinancieren van leningen. 

Voorbeeld: laten we zeggen dat je een Maker-kluis (CDP) hebt met $ 100 ETH erin en je hebt er 40 DAI van geleend. Dus je hebt een netto positie van $60 minus de schuld. Nu wilt u herfinancieren naar Compound voor een betere rente. 

Meestal is het nodig om 40 DAI extern terug te kopen, misschien op die beurs om het CDP aan te vullen, omdat er vooraf kapitaal voor nodig is. In plaats daarvan kunt u snel een lening van 40 DAI afsluiten, $ 100 CDP afsluiten, $ 60 ontgrendelde ETH in Compound storten, nog eens $ 40 ETH terug in DAI omzetten via Uniswap en dat gebruiken om flash.-leningen te betalen.

Aanvallen met flitsleningen hebben grote gevolgen voor de veiligheid 

De eerste incidenten vloeiden voort uit de bZx- hack en misschien was dit de fakkel die leidde tot verdere aanvallen.  

Er zijn twee belangrijke redenen waarom flitsleningen bijzonder aantrekkelijk zijn voor aanvallers.

Veel aanvallen vereisen veel kapitaal vooraf (zoals orakelmanipulatie-aanvallen). 

Flash-leningen verminderen het risico op blootstelling aan aanvallers. Als ik een idee heb hoe ik orakel kan manipuleren met 10 miljoen dollar Ether, zelfs als ik zoveel Ether bezit, wil ik misschien mijn kapitaal niet riskeren. Mijn ETH zal worden beïnvloed, uitwisselingen kunnen mijn storting weigeren en het zal moeilijker zijn voor het geld om te stromen. Een behoorlijk risico! Maar als ik snel een lening van $ 10 miljoen krijg, wat maakt het dan uit? Allen zijn tegengesteld. Het is niet zo dat de hypotheekpool van dYdX als negatief wordt beschouwd, omdat de leningen daar vandaan komen.

Misschien vind je het niet leuk dat blacklisting van uitwisselingen deel uitmaakt van het huidige blockchain-beveiligingsparadigma. Het is behoorlijk geheimzinnig en gefocust. Maar de realiteit is vrij belangrijk gezien de berekening achter deze aanvallen.

In de Bitcoin-whitepaper verklaarde Satoshi dat Bitcoin veilig is voor aanvallen omdat:

"[De aanvaller] zou het winstgevender moeten vinden om volgens de regels te spelen […] dan het systeem en zijn eigen activawaarde te vernietigen."

Met flitsleningen hoeven aanvallers niet langer veel geld uit te geven aan het spel. Flash-leningen veranderen het risico voor aanvallers drastisch.

En onthoud, flitsleningen kunnen zich opstapelen! Onder de gaslimiet kunt u alle snel uitleenbare fondsen samenvoegen in een enkele transactie (tot $ 50 miljoen) en al dat kapitaal terugbrengen tot één kwetsbaar contract. Het is een enorm geheugen van $ 50 miljoen waar iedereen nu lid van kan worden zolang er geld is. Het is zo eng!

Natuurlijk kun je nu een protocol niet aanvallen als je maar veel geld hebt. Als DeFi zo veilig is als wordt beweerd, maakt dit allemaal niet uit, welk protocol is niet veilig tegen walvissen? Behalve dat het gewoon nalatigheid was.

We zouden echter kunnen zien dat Ethereum zelf wordt onderworpen aan een 51% -aanval voor minder dan $ 200k/uur. Als het eigen beveiligingsmodel van Ethereum in feite is opgebouwd rond kapitaalbeperkingen, waarom gaan we er dan zo snel van uit dat DeFi-applicaties met succes kunnen worden gehackt voor slechts $ 10 miljoen?

Hoe flitsleningaanvallen te verminderen?

Laten we zeggen dat ik een DeFi-protocol ben en wil voorkomen dat ik wordt aangevallen door flitsleningen. De eerste vraag is, kan ik detecteren of de gebruikers die met mij communiceren, flitsleningen gebruiken?

Het simpele antwoord is nee!

EVM staat niet toe dat broers en zussen het geheugen van een ander contract lezen. Dus als je wilt weten wat er in een ander contract gebeurt, zal dat contract je dat vertellen. 

Wil je dus weten of er gebruik wordt gemaakt van flitsleningen, dan moet je het contract direct opvragen. Tegenwoordig reageren veel uitleenprotocollen niet op dergelijke vragen (en er is geen manier om af te dwingen wat een uitdrukkelijke geldschieter doet). 

En zelfs als u een dergelijke zoekopdracht hebt geprobeerd te testen, kan het gemakkelijk zijn om op het verkeerde been te worden gezet met behulp van een autorisatiecontract of door koppelingen tussen snelleengroepen. Over het algemeen is het niet mogelijk om in het algemeen te zeggen of deposanten flitsleningen gebruiken of niet.

Net als iemand die op je deur klopt en voor je staat met een koffer met 10 miljoen dollar, weet je niet of het hun geld is of niet. Rechts? 

Hoe beschermd te worden tegen aanvallen met flitsleningen? 

Stop met het aanbieden van Flash Loans-service 

Serieus, proberen om kredietverstrekkers te laten stoppen met het aanbieden van flitsleningen is hetzelfde als proberen om geluidsoverlast te stoppen. 

Het verstrekken van snelle leningen is onderworpen aan de persoonlijke belangen van elk protocol, en er zijn goede redenen waarom hun gebruikers deze functionaliteit willen. Deze kunnen we dus veilig verwijderen. 

Belangrijke transacties dwingen om twee blokken te duren

Vergeet niet dat u met flitsleningen geld kunt lenen voor de duur van een enkele transactie. Als u een kapitaalintensieve transactie aanvraagt ​​die twee blokken beslaat, dan moeten gebruikers ten minste twee blokken lenen om alle aanvallen van flitsleningen te verslaan. (Opmerking: om dit te laten werken, moeten gebruikers hun waarde tussen de twee blokken vergrendelen, zodat ze de lening niet kunnen terugbetalen).

Dit leidt uiteraard tot een UX-trade-off: het betekent dat transacties niet langer synchroon lopen. Het is aantrekkelijk voor gebruikers en ziet er ook behoorlijk veilig uit.

Veel ontwikkelaars klagen over asynchrone slimme contractbewerkingen, zoals interactie met laag 2-communicatie of cross-sharding in Ethereum 2.0. 

Ironisch genoeg zorgt de asynchronie ervoor dat deze systemen in feite worden beschermd tegen aanvallen met flitsleningen, omdat je niet door een scherf of een laag 2 kunt gaan in een enkele kleine transactie. Dit betekent dat er geen flitsleningaanval is op ETH 2.0-scherven of tegen laag 2 DEX's.

Vraag online bewijs van het vorige saldo van de gebruiker aan

We zouden aanvallen met flitsleningen kunnen verslaan als er een manier was om te detecteren wat het nettosaldo van een gebruiker was, d.w.z. wat hun saldo was voordat ze een lening aangingen.

Voordat een gebruiker interactie heeft met het protocol van een platform, heeft het platform een ​​Merkle-bewijs nodig dat bewijst dat ze aan het einde van het vorige blok voldoende saldo hebben om rekening te houden met het kapitaal dat ze momenteel gebruiken. Het platform moet dit voor elke gebruiker in elk blok bijhouden.

Deze oplossing heeft enkele complicaties: het verifiëren van deze on-chain-bewijzen is extreem duur on-chain, en geen enkele goedbedoelende gebruiker wil ze genereren en gaskosten betalen voor het hele ding. . Als alternatief kunnen gebruikers om volkomen legitieme redenen hun saldo eerder in hetzelfde blok hebben gewijzigd. Dus theoretisch heeft het enige verdienste, maar het is geen praktische oplossing.

Er is geen enkele oplossing die aanvallen met flitsleningen volledig kan voorkomen, maar twee specifieke toepassingen die deze aanvallen kunnen afzwakken zijn: marktgebaseerd prijsorakel en governancetokens.

Voor op de markt gebaseerde prijsbepalingsorakels zoals Uniswap of OasisDEX, voorkomen flitsleningen dat u de huidige middenkoersen zoals orakel gebruikt. 

Het plan van de aanvaller was om de gemiddelde marktprijs in een enkele transactie te verplaatsen en een flashcrash te veroorzaken, waardoor het orakel qua prijs werd beschadigd.

De beste oplossing is hier om een ​​gewogen gemiddelde van de laatste X-blokken te gebruiken via TWAP of VWAP. Uniswap v2 zal deze oplossing bieden. Er is ook Polaris, een algemene benadering voor het leveren van voortschrijdende gemiddelden voor DeFi-protocollen, maar Polaris is al vele jaren niet meer leverbaar. 

On-chain governance wordt meestal bepaald door muntgewogen stemmen onder houders van governancetokens. Maar als die governance-tokens zich in een pool van flitsleningen bevinden, kan elke aanvaller een enorme stapel munten nemen en vertrouwen op de uitkomst die ze willen.

Natuurlijk vereisen de meeste bestuursprotocollen tokenvergrendeling tijdens het stemmen, wat helpt om aanvallen met flitsleningen te verslaan. Maar sommige vormen van stemmen vereisen dit niet, zoals koolstofstemmen of het exploitatiecontract van Maker. Met de flitsleningaanvallen van vandaag moeten deze stemformulieren als volledig gebroken worden beschouwd.

Het meest logische is dat het governance-token volledig niet-lenend is, maar het hangt af van de markt. Daarom moeten alle administratieve handelingen een slot vereisen om aanvallen met flitsleningen te voorkomen. Het nieuwe COMP-token van Compound gaat nog een stap verder door alle stemmen van het protocol te timen, waardoor zelfs de occasionele uitleenaanval op het governance-token onmiddellijk wordt verzwakt.

In grote lijnen moeten alle governance-tokens tijd hebben. Tijdslot dat alle administratieve besluiten uitvoert, moet een periode wachten voordat ze van kracht worden (voor samengestelde tijdslot is 2 dagen). Hierdoor kan het systeem herstellen van onvoorziene administratieve aanvallen.

Betekenis op de lange termijn 

Ik geloof dat bZx-aanvallen alles hebben veranderd.

Dit zal niet de laatste flitsleningaanval zijn. De tweede bZx-aanval is de eerste kloon en ik betwijfel of deze de komende maanden een golf van aanvallen zal veroorzaken. 

En dat gebeurde volledig, in een rij van flitskredietaanvallen vonden plaats, zoals Harvest Finance ($ 33,8 miljoen), Value DeFi ($ 7 miljoen), Akro ($ 2 miljoen), Cheese Bank ($ 3,3 miljoen). USD) en meest recentelijk OUSD (7 miljoen dollar).

Epiloog 

Dat is waarschijnlijk een van de drijfveren voor Ethereum om snel over te stappen op Ethereum 2.0. DeFi is niet stabiel in de PoW-keten, als DeFi-protocollen op afzonderlijke shards op Ethereum 2.0 zouden bestaan , zouden ze niet kwetsbaar zijn voor flitsleningen.

Flash-leningenaanval geeft ons een kleine maar nuttige herinnering dat elk platform net is begonnen, het duurt lang om een ​​duurzame architectuur te krijgen om het financiële systeem van de toekomst te bouwen.

Het artikel is vertaald en bewerkt vanuit het originele artikel gepubliceerd door Dragonfly Research.