Расшифровано #05 | Почему Flash Loans — это новый тип атаки?

В последнее время в центре внимания находятся флэш-кредиты, поскольку происходит все больше случаев кражи денег из протоколов DeFi...

В последнее время флэш-кредиты оказались в центре внимания, так как произошло больше инцидентов с кражей протокола DeFi, от взлома Harvest Finance на сумму более 33 миллионов долларов до самого последнего инцидента с майнингом OUSD на 7 миллионов долларов. 

С точки зрения хакера, эта атака выглядит как отличная возможность мгновенно занять сотни тысяч долларов у нищего человека в эквиваленте ETH. Затем пропустите его через уязвимые протоколы в сети, извлеките сотни долларов из своего кармана и погасите свой кредит. Все это произошло в мгновение ока в транзакции Ethereum. 

Мы не знаем, кто эти нападавшие и откуда они. Все они начали с нуля и ушли с деньгами на сотни тысяч долларов, не оставив следов, которые можно было бы идентифицировать. 

Что такое быстрые кредиты? 

Концепция мгновенных кредитов впервые была представлена ​​Максом Вольфом, создателем Marble Protocol, в 2018 году.

Флэш-кредиты, обычно используемые для Ethereum или ERC20, берутся только на время, необходимое для завершения блока транзакций в блокчейне. Пока кредит погашается до начала следующего блока транзакций, заемщик не будет платить проценты.

Если традиционные кредиторы несут две формы риска: риск дефолта или риск ликвидности, Flash Loans решает эти две проблемы. По сути, экспресс-кредиты работают следующим образом: 

Я одолжу вам сумму, которую вы хотите, за одну транзакцию. Но в конце этой сделки вы должны вернуть мне по крайней мере ту сумму, которую я вам одолжил. Если вы не заплатите, я автоматически восстановлю вашу транзакцию, а это значит, что она никогда не начиналась. 

Это существует только в блокчейне. Вы не можете делать мгновенные кредиты на BitMex. Поскольку смарт-контракт может обрабатывать каждую транзакцию, все, что происходит в транзакции, выполняется последовательно. Вы можете рассматривать это как «время заморозки» вашей транзакции, пока транзакция находится в процессе.

Традиционные кредиторы получают компенсацию за две вещи: риск, который они берут на себя (риски дефолта и неликвидности), и альтернативную стоимость капитала, который они ссужают. 

Флэш-кредиты бывают разные. Флэш-кредиты действительно не имеют риска и альтернативных издержек! Это связано с тем, что заемщики находятся в «замороженном состоянии» на время действия своих срочных кредитов, поэтому капитал системы никогда не подвергается риску и никогда не прерывается, поэтому он не может получать проценты где-либо еще (т. е. у него нет альтернативных издержек).

Это означает, что нет никаких затрат, чтобы стать флэш-кредитором. Тем не менее, сколько стоят экспресс-кредиты в равновесии?

По сути, флэш-кредиты бесплатны. Или, скорее, плата, которая достаточно мала, чтобы амортизировать стоимость, включает в себя дополнительные 3 строки кода, чтобы недвижимость могла быть предоставлена ​​​​быстро.

Срочные кредиты не могут начисляться на проценты традиционным способом, так как кредит действителен в течение нулевого времени (любой годовых * 0 = 0). И, конечно же, если учреждения, предлагающие экспресс-кредиты, взимают более высокие процентные ставки, они быстро будут брать более низкие процентные ставки другими пулами экспресс-кредитования.

Некоторые проекты в настоящее время применяют мгновенные кредиты с нулевой комиссией, такие как dYdX или AAVE, которые взимают 0,09% от основной суммы за мгновенные кредиты. 

Для чего используются флэш-кредиты? 

Флэш-кредиты изначально были известны в основном для арбитражной торговли. Марбл, создатель источника определения Flash-кредитов, говорит: 

С помощью мгновенных кредитов трейдеры могут брать кредиты в банке Marble, покупать токены на одной DEX, продавать токены на другой DEX по более высокой цене, погашать банковские кредиты и получать прибыль от арбитража всего за одну транзакцию» .

Действительно, большинство кредитов используются для этой цели. 

Но объем очень маленький. С момента основания AAVE имеет чуть более 10 тысяч долларов кредитов. Это ничтожно мало по сравнению с рынком арбитража и ликвидации в DeFi.

Также потому, что большая часть арбитражной торговли осуществляется конкурентными арбитражерами, использующими сложные программы. Они участвуют в онлайн-аукционах предпочтительного газа и используют газовые токены для оптимизации комиссий за транзакции. Это очень конкурентный рынок — эти люди совершенно счастливы держать на балансе несколько токенов для оптимизации заработка.

С другой стороны, заимствование на AAVE стоит около 80 тысяч газа и взимает 0,09% от капитала, что слишком дорого для конкурентного арбитражера с небольшой маржой. Фактически, в большинстве арбитражных трейдеров AAVE заемщик в конечном итоге платит кредитному пулу больше, чем получает.

В долгосрочной перспективе арбитражеры вряд ли будут использовать экспресс-кредиты, за исключением исключительных обстоятельств.

Но у экспресс-кредитов есть и другие, более привлекательные варианты использования в DeFi. Одним из примеров является рефинансирование кредитов. 

Пример: допустим, у вас есть хранилище Maker (CDP) с заблокированными в нем 100 долларами ETH, и вы заняли у него 40 DAI. Таким образом, у вас есть чистая позиция в размере 60 долларов за вычетом долга. Теперь вы хотите рефинансировать в Compound для лучшей процентной ставки. 

Обычно необходимо выкупить 40 DAI на стороне, возможно, на этой бирже, чтобы пополнить CDP, поскольку это требует некоторого авансового капитала. Вместо этого вы можете взять быстрый кредит в размере 40 DAI, закрыть CDP на 100 долларов, внести разблокированные ETH на 60 долларов в Compound, конвертировать еще 40 ETH обратно в DAI через Uniswap и использовать их для оплаты кредитов.

Атаки с использованием флэш-кредитов имеют серьезные последствия для безопасности 

Первые инциденты произошли из-за взлома bZx , и, возможно, это послужило толчком к дальнейшим атакам.  

Есть две основные причины, по которым быстрые кредиты особенно привлекательны для злоумышленников.

Многие атаки требуют большого авансового капитала (например, атаки с манипулированием оракулом). 

Мгновенные кредиты снижают риск раскрытия информации злоумышленниками. Если у меня есть идея, как манипулировать оракулом с помощью эфира на 10 миллионов долларов, даже если я владею таким количеством эфира, возможно, я не захочу рисковать своим капиталом. Это повлияет на мой ETH, биржи могут отклонить мой депозит, и деньги будут поступать хуже. Довольно риск! Но если я быстро получу кредит в 10 миллионов долларов, кого это волнует? Все противоположны. Не похоже, что ипотечный пул dYdX будет считаться неблагоприятно затронутым, потому что именно оттуда берутся его кредиты.

Вам может не понравиться, что черный список бирж является ча��тью современной парадигмы безопасности блокчейна. Он довольно скрытный и сосредоточенный. Но реальность очень важна, учитывая расчет, стоящий за этими атаками.

В официальном документе Биткойн Сатоши заявил, что Биткойн защищен от атак, потому что:

«[Злоумышленнику] должно быть выгоднее играть по правилам […], чем разрушать систему и стоимость собственных активов».

Благодаря флэш-кредитам злоумышленникам больше не нужно тратить много денег на игру. Мгновенные кредиты резко меняют риск для злоумышленников.

И помните, быстрые кредиты могут накапливаться! В рамках газовой шапки вы можете объединить любые средства, которые можно быстро получить взаймы, в одну транзакцию (до 50 миллионов долларов) и перевести весь этот капитал в один уязвимый контракт. Это огромное воспоминание стоимостью 50 миллионов долларов, к которому может присоединиться любой, пока есть деньги. Это так страшно!

Конечно, теперь вы не сможете атаковать протокол, если у вас есть только много денег. Если DeFi так безопасен, как утверждается, все это не будет иметь значения, какой протокол не защищен от китов? Не за исключением того, что это была просто небрежность.

Тем не менее, мы могли видеть, что сам Ethereum подвергается атаке 51% менее чем за 200 тысяч долларов в час. Если собственная модель безопасности Ethereum в основном построена на ограниченности капитала, почему мы так быстро предполагаем, что приложения DeFi можно успешно взломать всего за 10 миллионов долларов?

Как смягчить атаки с использованием флэш-кредитов?

Допустим, я работаю с протоколом DeFi и хочу, чтобы меня не атаковали мгновенными кредитами. Первый вопрос: могу ли я определить, используют ли взаимодействующие со мной пользователи экспресс-кредиты?

Простой ответ - нет!

EVM не позволяет братьям и сестрам считывать память из любого другого контракта. Поэтому, если вы хотите знать, что происходит в другом контракте, этот контракт расскажет вам об этом. 

Итак, если вы хотите знать, используются ли экспресс-кредиты, вы должны напрямую спросить контракт. Сегодня многие кредитные протоколы не отвечают на такие запросы (и нет никакого способа обеспечить выполнение того, что делает экспресс-кредитор). 

Кроме того, даже если вы попытались протестировать любой такой запрос, его можно легко ввести в заблуждение, используя договор авторизации или связывая группы быстрых кредитов. В целом невозможно сказать, пользуются ли вкладчики экспресс-кредитами или нет.

Точно так же, как кто-то стучится в вашу дверь и стоит перед вами с чемоданом, содержащим 10 миллионов долларов, вы не можете сказать, их это деньги или нет. Верно? 

Как защититься от атак flash-кредитов? 

Прекратить предоставление услуги Flash Loans 

Серьезно, пытаться заставить кредиторов прекратить предлагать срочные кредиты — все равно, что пытаться остановить шумовое загрязнение. 

Предоставление быстрых кредитов зависит от личных интересов каждого протокола, и есть веские причины, по которым их пользователи хотят эту функциональность. Так что мы можем безопасно удалить это. 

Принуждение важных транзакций к длительности двух блоков

Помните, что быстрые кредиты позволяют вам занимать деньги на время одной транзакции. Если вы запрашиваете капиталоемкую транзакцию, которая охватывает два блока, то пользователи должны одолжить как минимум два блока, чтобы победить любые атаки мгновенного кредита. (Примечание: чтобы это работало, пользователи должны заблокировать свое значение между двумя блоками, чтобы они не могли погасить кредит).

Очевидно, это приводит к компромиссу UX: это означает, что транзакции больше не будут синхронизированы. Это привлекательно для пользователей, а также выглядит достаточно безопасным.

Многие разработчики жалуются на асинхронные операции со смарт-контрактами, такие как взаимодействие со связью уровня 2 или кросс-шардинг в Ethereum 2.0. 

По иронии судьбы, асинхронность на самом деле делает эти системы безопасными от атак мгновенных кредитов, поскольку вы не можете пройти через сегмент или уровень 2 за одну небольшую транзакцию. Это означает, что на осколки ETH 2.0 или на DEX уровня 2 не будет атаки мгновенного кредита.

Запросить онлайн-подтверждение предыдущего баланса пользователя

Мы могли бы противостоять атакам мгновенных кредитов, если бы существовал какой-то способ определить, каков был чистый баланс пользователя, то есть каким был его баланс до того, как он взял кредит.

Прежде чем пользователь взаимодействует с протоколом платформы, платформе требуется доказательство Меркла, которое доказывает, что в конце предыдущего блока у него достаточно баланса для учета капитала, который он использует в настоящее время. Платформа должна отслеживать это для каждого пользователя в каждом блоке.

У этого решения есть некоторые сложности: проверка этих доказательств в цепочке чрезвычайно дорога в цепочке, и ни один пользователь с благими намерениями не хочет генерировать их и платить комиссию за газ за все это. Кроме того, пользователи могли изменить свой баланс ранее в том же блоке по совершенно законным причинам. Так что теоретически это имеет некоторые достоинства, но это не практическое решение.

Не существует единого решения, которое может полностью предотвратить атаки мгновенных кредитов, но есть два конкретных приложения, которые могут смягчить эти атаки: оракул ценообразования на основе рынка и токены управления.

Для оракула ценообразования на основе рынка, такого как Uniswap или OasisDEX, атаки с использованием мгновенных кредитов не позволяют вам использовать текущие средние рыночные ставки, такие как оракул. 

План злоумышленника состоял в том, чтобы изменить среднюю рыночную цену за одну транзакцию и вызвать внезапный сбой, нанеся ущерб оракулу с точки зрения цены.

Лучшее решение здесь — использовать средневзвешенное значение последних X блоков через TWAP или VWAP. Uniswap v2 предоставит это решение. Существует также Polaris, обобщенный подход к предоставлению скользящих средних для протоколов DeFi, но Polaris уже много лет не поддерживается. 

Управление в сети обычно определяется взвешенным по монетам голосованием держателей управляющих токенов. Но если эти токены управления находятся в пуле флэш-кредитов, то любой злоумышленник может взять огромную кучу монет и рассчитывать на любой результат, который он хочет.

Конечно, большинство протоколов управления требуют блокировки токена во время голосования, что помогает отражать атаки с использованием флэш-кредитов. Но некоторые формы голосования не требуют этого, например, углеродное голосование или операционный контракт Maker. С сегодняшними атаками мгновенных кредитов эти формы голосования следует считать полностью сломанными.

Самое логичное то, что токен управления полностью некредитный, но зависит от рынка. Следовательно, все административные действия должны требовать блокировки для предотвращения атак мгновенных займов. Новый токен COMP от Compound делает еще один шаг вперед, синхронизируя все голоса протокола, мгновенно ослабляя даже случайную кредитную атаку на токен управления.

Вообще говоря, все токены управления должны иметь время. Временная блокировка, которая выполняет все административные решения, должна подождать некоторое время, прежде чем они вступят в силу (для составной временной блокировки составляет 2 дня). Это позволяет системе восстанавливаться после любых непредвиденных административных атак.

Значение в долгосрочной перспективе 

Я считаю, что атаки bZx изменили все.

Это будет не последняя атака по мгновенным кредитам. Вторая атака bZx — это первый клон, и я сомневаюсь, что она вызовет волну атак в ближайшие месяцы. 

И это полностью произошло, когда произошел ряд мгновенных кредитных атак, таких как Harvest Finance (33,8 миллиона долларов США), Value DeFi (7 миллионов долларов США), Akro (2 миллиона долларов США), Cheese Bank (3,3 миллиона долларов США) и совсем недавно OUSD (7 миллионов долларов США). млн долларов США).

Эпилог 

Вероятно, это одна из причин, побудивших Эфириум быстро перейти на Эфириум 2.0. DeFi нестабилен в цепочке PoW, если бы протоколы DeFi существовали на отдельных осколках в Ethereum 2.0 , они не были бы уязвимы для мгновенных займов.

Атака с быстрыми кредитами дает нам небольшое, но полезное напоминание о том, что каждая платформа только начинает свою работу, и требуется много времени, чтобы получить устойчивую архитектуру для построения финансовой системы будущего.

Статья переведена и отредактирована с оригинальной статьи, опубликованной Dragonfly Research.