Odszyfrowane #05 | Dlaczego Flash Loans to nowy rodzaj ataku?

Błyskawiczne pożyczki są ostatnio w centrum uwagi, ponieważ ma miejsce więcej incydentów kradzieży pieniędzy z protokołów DeFi ...

Flash Loans znalazły się ostatnio w centrum uwagi, ponieważ miało miejsce więcej incydentów związanych z kradzieżą protokołu DeFi, od zhakowania Harvest Finance na ponad 33 miliony dolarów po ostatni incydent związany z wydobyciem 7 milionów USD. 

Z punktu widzenia hakera ten atak wygląda na świetną okazję do natychmiastowego pożyczenia setek tysięcy dolarów od osoby bez grosza przy duszy o wartości ETH. Następnie przepuszczaj je przez wrażliwe protokoły sieciowe i wyciągaj setki dolarów z ich kieszeni i spłacaj pożyczkę. Wszystko to wydarzyło się w mgnieniu oka w transakcji Ethereum. 

Nie wiemy, kim są ci napastnicy ani skąd pochodzą. Wszyscy zaczynali od zera i odeszli z setkami tysięcy dolarów i nie pozostawili żadnego śladu do zidentyfikowania. 

Czym są pożyczki błyskawiczne? 

Koncepcja pożyczek flash została po raz pierwszy wprowadzona przez Maxa Wolffa, twórcę Marble Protocol, w 2018 roku.

Pożyczki Flash powszechnie używane dla Ethereum lub ERC20 są pożyczane tylko na czas wymagany do zakończenia bloku transakcji w blockchain. Dopóki pożyczka zostanie spłacona przed rozpoczęciem kolejnego pakietu transakcji, pożyczkobiorca nie poniesie odsetek.

Jeśli tradycyjni pożyczkodawcy ponoszą dwie formy ryzyka: ryzyko niewypłacalności lub ryzyko płynności, Flash Loans rozwiązuje te dwa problemy. Zasadniczo pożyczki flash działają tak: 

Pożyczam Ci tyle, ile chcesz w jednej transakcji. Ale pod koniec tej transakcji musisz mi zwrócić przynajmniej kwotę, którą ci pożyczyłem. Jeśli nie zapłacisz, automatycznie przywrócę Twoją transakcję, co oznacza, że ​​nigdy się nie rozpoczęła. 

To istnieje tylko w Blockchain. Nie możesz udzielać pożyczek flash na BitMex. Ponieważ inteligentna umowa może przetwarzać każdą transakcję, wszystko, co dzieje się w transakcji, jest wykonywane sekwencyjnie. Możesz uznać to za "zamrożenie czasu" transakcji podczas trwania transakcji.

Tradycyjni pożyczkodawcy otrzymują rekompensatę za dwie rzeczy: ryzyko, które podejmują (ryzyko niewykonania zobowiązania i brak płynności) oraz koszt alternatywny pożyczanego kapitału. 

Pożyczki Flash są inne. Pożyczki Flash naprawdę nie wiążą się z żadnym ryzykiem ani kosztem alternatywnym! Dzieje się tak, ponieważ pożyczkobiorcy mają „zamrożony czas” na czas trwania swoich pożyczek flash, więc kapitał systemu nigdy nie jest zagrożony i nigdy nie jest udaremniany, więc nie może uzyskać odsetek gdzie indziej (tj. nie ma kosztu alternatywnego).

Oznacza to, że nie ma żadnych kosztów, aby zostać pożyczkodawcą flash. To powiedziawszy, ile kosztują pożyczki błyskawiczne w stanie równowagi?

Zasadniczo pożyczki flash są bezpłatne. Lub raczej opłata, która jest wystarczająco mała, aby zamortyzować koszt, obejmuje dodatkowe 3 linijki kodu, dzięki czemu nieruchomość może szybko się wypożyczyć.

Pożyczki Flash nie mogą być oprocentowane w tradycyjny sposób, ponieważ pożyczka jest ważna przez zerowy czas (dowolne RRSO * 0 = 0). I oczywiście, jeśli instytucje oferujące pożyczki flash pobierają wyższe oprocentowanie, szybko zostaną obciążone niższymi stopami procentowymi przez inne pule pożyczek flash.

Niektóre projekty obecnie stosują pożyczki flash bez opłat, takie jak dYdX lub AAVE, które pobierają 0,09% kapitału za pożyczki flash. 

Do czego służą pożyczki flash? 

Kredyty flash były pierwotnie znane głównie z handlu arbitrażowego. Marble, twórca źródła definicji pożyczek Flash, mówi: 

Dzięki pożyczkom typu flash handlowcy mogą pożyczać z banku Marble, kupować tokeny na jednym DEX-ie, sprzedawać tokeny na innym DEX-ie po wyższej cenie, spłacać pożyczki bankowe i zyski z arbitrażu kieszonkowego w ramach jednej transakcji .

Rzeczywiście większość pożyczek jest wykorzystywana do tego celu. 

Ale objętość jest bardzo mała. AAVE od początku swojego istnienia ma nieco ponad 10 tys. To maleńkie w porównaniu z rynkiem arbitrażu i likwidacji na DeFi.

Również dlatego, że większość transakcji arbitrażowych jest wykonywana przez konkurencyjnych arbitrów obsługujących złożone programy. Uczestniczą w aukcjach preferowanego gazu w sieci i wykorzystują tokeny gazowe do optymalizacji opłat transakcyjnych. To bardzo konkurencyjny rynek – ci ludzie są bardzo zadowoleni z posiadania kilku tokenów w swoim bilansie, aby zoptymalizować zarobki.

Z drugiej strony, pożyczanie na AAVE kosztuje około 80 tys. gazu i pobiera 0,09% kapitału, co jest ceną zbyt wysoką, aby zapłacić za konkurencyjnego arbitra z niewielką marżą. W rzeczywistości, w większości podmiotów zajmujących się arbitrażem AAVE, pożyczkobiorca w końcu płaci więcej opłat do puli pożyczek niż bierze.

Na dłuższą metę arbitrzy raczej nie będą korzystać z pożyczek flash, z wyjątkiem wyjątkowych okoliczności.

Ale pożyczki flash mają inne, bardziej przekonujące przypadki użycia w DeFi. Jednym z przykładów są pożyczki refinansowe. 

Przykład: Załóżmy, że masz skarbiec Maker (CDP) z zablokowanym ETH o wartości 100 USD i pożyczyłeś z niego 40 DAI. Więc masz 60 dolarów netto pozycji minus dług. Teraz chcesz refinansować na związek , aby uzyskać lepsze oprocentowanie. 

Zwykle konieczne jest odkupienie 40 DAI zewnętrznie, być może na tej giełdzie, aby doładować CDP, ponieważ wymaga to pewnego kapitału z góry. Zamiast tego możesz wziąć szybką pożyczkę 40 DAI, zamknąć 100 USD CDP, wpłacić 60 USD odblokowanego ETH w Compound, zamienić kolejne 40 USD ETH z powrotem na DAI za pośrednictwem Uniswap i użyć tego do spłaty pożyczek flash.

Ataki na pożyczki błyskawiczne mają duży wpływ na bezpieczeństwo 

Pierwsze incydenty wynikały z włamania do bZx i być może to była pochodnia, która wywołała kolejne ataki.  

Istnieją dwa główne powody, dla których pożyczki typu flash są szczególnie atrakcyjne dla napastników.

Wiele ataków wymaga dużego kapitału z góry (takich jak ataki manipulacji wyrocznią). 

Pożyczki flashowe zmniejszają ryzyko narażenia na ataki. Jeśli mam pomysł, jak manipulować wyrocznią za pomocą 10 milionów dolarów eteru, nawet jeśli posiadam tyle eteru, mogę nie chcieć ryzykować swojego kapitału. Wpłynie to na moje ETH, giełdy mogą odrzucić mój depozyt i będzie trudniej przepływać pieniądze. Spore ryzyko! Ale jeśli dostanę szybką pożyczkę w wysokości 10 milionów dolarów, kogo to obchodzi? Wszystkie są przeciwne. To nie tak, że pula kredytów hipotecznych dYdX zostałaby uznana za niekorzystnie dotkniętą, ponieważ stamtąd pochodzą jego pożyczki.

Może ci się nie podobać, że czarna lista giełdy jest częścią dzisiejszego paradygmatu bezpieczeństwa blockchain. Jest dość tajemniczy i skupiony. Ale rzeczywistość jest dość ważna, biorąc pod uwagę obliczenia stojące za tymi atakami.

W białej księdze Bitcoin Satoshi stwierdził, że Bitcoin jest bezpieczny przed atakami, ponieważ:

„[Atakujący] powinien uznać, że bardziej opłacalne będzie przestrzeganie zasad […] niż zniszczenie systemu i własnej wartości aktywów”.

Dzięki pożyczkom flash napastnicy nie muszą już wydawać dużych pieniędzy na grę. Pożyczki Flash radykalnie zmieniają ryzyko dla atakujących.

I pamiętaj, że pożyczki flash mogą się kumulować! W ramach limitu gazu możesz zagregować wszelkie szybkie środki do pożyczki w jednej transakcji (do 50 milionów dolarów) i sprowadzić cały ten kapitał do jednej wrażliwej umowy. To ogromna pamięć o wartości 50 milionów dolarów, do której każdy może teraz dołączyć, o ile ma pieniądze. To takie przerażające!

Oczywiście teraz nie będziesz w stanie zaatakować protokołu, jeśli masz tylko dużo pieniędzy. Jeśli DeFi jest tak bezpieczne, jak się twierdzi, to wszystko nie będzie miało znaczenia, jaki rodzaj protokołu nie jest bezpieczny przed wielorybami? Nie poza tym, że było to po prostu zaniedbanie.

Możemy jednak zobaczyć, jak samo Ethereum jest poddawane atakowi 51% za mniej niż 200 000 USD za godzinę. Jeśli własny model bezpieczeństwa Ethereum jest w zasadzie zbudowany wokół ograniczeń kapitałowych, dlaczego tak szybko zakładamy, że aplikacje DeFi można z powodzeniem zhakować już za 10 milionów dolarów?

Jak złagodzić ataki na pożyczki flashowe?

Załóżmy, że korzystam z protokołu DeFi i chcę uniknąć ataków przez pożyczki typu flash. Pierwsze pytanie brzmi: czy mogę wykryć, czy użytkownicy, którzy wchodzą ze mną w interakcję, korzystają z pożyczek flash?

Prostą odpowiedzią jest: nie!

EVM nie pozwala rodzeństwu na odczytywanie pamięci z żadnego innego kontraktu. Więc jeśli chcesz wiedzieć, co się dzieje w innej umowie, ta umowa ci powie. 

Tak więc, jeśli chcesz wiedzieć, czy używane są pożyczki flash, musisz zapytać bezpośrednio o umowę. Obecnie wiele protokołów pożyczkowych nie odpowiada na takie zapytania (i nie ma możliwości wyegzekwowania tego, co robi pożyczkodawca ekspresowy). 

Dodatkowo, nawet jeśli próbowałeś przetestować takie zapytanie, łatwo można zostać błędnym przekierowaniem za pomocą umowy autoryzacyjnej lub łącząc się między grupami szybkich pożyczek. Ogólnie rzecz biorąc, nie można ogólnie powiedzieć, czy deponenci korzystają z pożyczek flash, czy nie.

Tak jak ktoś pukający do twoich drzwi i stojący przed tobą z walizką zawierającą 10 milionów dolarów, nie możesz powiedzieć, czy to jego pieniądze, czy nie. Prawidłowy? 

Jak uchronić się przed atakami typu flash pożyczki? 

Przestań świadczyć usługę Flash Loans 

Poważnie, próba zmuszenia pożyczkodawców do zaprzestania oferowania pożyczek flash jest jak próba powstrzymania zanieczyszczenia hałasem. 

Udzielanie szybkich pożyczek podlega osobistym interesom każdego protokołu i istnieją dobre powody, dla których ich użytkownicy chcą tej funkcjonalności. Więc możemy to bezpiecznie usunąć. 

Wymuszanie ważnych transakcji na ostatnich dwóch blokach

Pamiętaj, że pożyczki błyskawiczne pozwalają pożyczyć pieniądze na czas trwania pojedynczej transakcji. Jeśli poprosisz o kapitałochłonną transakcję, która obejmuje dwa bloki, użytkownicy muszą pożyczyć co najmniej dwa bloki, pokonując wszelkie ataki typu flash pożyczki. (Uwaga: aby to zadziałało, użytkownicy muszą zablokować swoją wartość między dwoma blokami, uniemożliwiając im spłatę pożyczki).

Oczywiście prowadzi to do kompromisu UX: oznacza to, że transakcje nie będą już zsynchronizowane. Jest atrakcyjny dla użytkowników, a także wygląda dość bezpiecznie.

Wielu programistów narzeka na asynchroniczne operacje inteligentnych kontraktów, takie jak interakcja z komunikacją w warstwie 2 lub cross-sharding w Ethereum 2.0. 

Jak na ironię, asynchronia faktycznie zabezpiecza te systemy przed atakami typu flash pożyczki, ponieważ nie można przejść przez fragment lub warstwę 2 w jednej małej transakcji. Oznacza to, że nie ma ataku pożyczki flash na odłamki ETH 2.0 ani na DEX warstwy 2.

Poproś online o potwierdzenie poprzedniego salda użytkownika

Moglibyśmy pokonać ataki związane z pożyczkami typu flash, gdyby istniał sposób na wykrycie salda netto użytkownika – tj. saldo przed zaciągnięciem pożyczki.

Zanim użytkownik wejdzie w interakcję z protokołem platformy, platforma wymaga dowodu Merkle, który dowodzi, że pod koniec poprzedniego bloku mają wystarczające saldo, aby rozliczyć kapitał, z którego obecnie korzystają. Platforma musi to śledzić dla każdego użytkownika w każdym bloku.

To rozwiązanie ma pewne komplikacje: weryfikacja tych dowodów w sieci jest niezwykle kosztowna w sieci i żaden użytkownik o dobrych intencjach nie chce ich generować i płacić za całość opłat za gaz. Alternatywnie, użytkownicy mogli zmienić swoje salda wcześniej w tym samym bloku z całkowicie uzasadnionych powodów. Czyli teoretycznie ma to jakąś zaletę, ale nie jest to praktyczne rozwiązanie..

Nie ma jednego rozwiązania, które może całkowicie zapobiec atakom typu flash pożyczki, ale dwie konkretne aplikacje, które mogą złagodzić te ataki, to: wyrocznia cenowa oparta na rynku i tokeny zarządzania.

W przypadku rynkowej wyroczni cenowej, takiej jak Uniswap lub OasisDEX, ataki na pożyczki błyskawiczne uniemożliwiają korzystanie z obecnych średnich stawek rynkowych, takich jak wyrocznia. 

Plan atakującego polegał na przesunięciu średniej ceny rynkowej w ramach jednej transakcji i spowodowaniu błyskawicznego krachu, szkodząc wyroczni pod względem ceny.

Najlepszym rozwiązaniem jest tutaj użycie średniej ważonej ostatnich X bloków za pośrednictwem TWAP lub VWAP. Uniswap v2 zapewni to rozwiązanie. Istnieje również Polaris, uogólnione podejście do dostarczania średnich kroczących dla protokołów DeFi, ale Polaris został przerwany od wielu lat. 

Zarządzanie w łańcuchu jest zwykle określane przez głosowanie ważone monetami wśród posiadaczy tokenów zarządzania. Ale jeśli te tokeny zarządzania znajdują się w puli pożyczek flash, każdy atakujący może wziąć ogromny stos monet i polegać na dowolnym wyniku.

Oczywiście większość protokołów zarządzania wymaga blokowania tokenów podczas głosowania, co pomaga w zwalczaniu ataków na pożyczki flash. Ale niektóre formy głosowania tego nie wymagają, takie jak głosowanie węglowe lub umowa operacyjna Makera. Przy dzisiejszych atakach na pożyczki błyskawiczne te formy głosowania należy uznać za całkowicie zepsute.

Najbardziej logiczną rzeczą jest to, że token zarządzania całkowicie nie pożycza, ale zależy to od rynku. Dlatego wszystkie czynności administracyjne powinny wymagać blokady, aby zapobiec atakom na pożyczki flash. Nowy token COMP Compound idzie o krok dalej, synchronizując wszystkie głosy protokołu, natychmiast osłabiając nawet sporadyczne ataki pożyczkowe przeciwko tokenowi zarządzania.

Ogólnie rzecz biorąc, wszystkie tokeny zarządzania muszą mieć czas. Blokada czasowa, która wykonuje wszystkie decyzje administracyjne, musi odczekać pewien okres czasu, zanim zaczną one obowiązywać (dla złożonej blokady czasowej wynosi 2 dni). Pozwala to na odzyskanie systemu po nieprzewidzianych atakach administracyjnych.

Znaczenie na dłuższą metę 

Wierzę, że ataki bZx zmieniły wszystko.

To nie będzie ostatni atak pożyczki błyskawicznej. Drugi atak bZx jest pierwszym klonem i wątpię, czy wywoła falę ataków w nadchodzących miesiącach. 

I stało się to całkowicie, w szeregu ataków na pożyczki błyskawiczne miały miejsce takie jak Harvest Finance (33,8 mln USD), Value DeFi (7 mln USD), Akro (2 mln USD), Cheese Bank (3,3 mln USD), a ostatnio OUSD (7 mln USD). mln USD).

Epilog 

Jest to prawdopodobnie jedna z motywacji Ethereum do szybkiego przejścia na Ethereum 2.0. DeFi nie jest stabilne w łańcuchu PoW, gdyby protokoły DeFi istniały na oddzielnych fragmentach w Ethereum 2.0 , nie byłyby podatne na pożyczki flash.

Atak pożyczek Flash daje nam małe, ale przydatne przypomnienie, że każda platforma dopiero się zaczyna, a uzyskanie zrównoważonej architektury do budowy systemu finansowego przyszłości zajmuje dużo czasu.

Artykuł został przetłumaczony i zredagowany na podstawie oryginalnego artykułu opublikowanego przez Dragonfly Research.