Innovación en la punta del cuchillo: ¿Hizo algo mal Flash Loans?

Según la información conocida, ha habido 4 ataques de préstamos rápidos en la última semana, incluidos Value DeFi ($ 5,4 millones), Cheese Bank ($ 3,3 millones), Akropolis ($ 2 millones) y OUSD de hoy ($ 7 millones) Dólar).

Verificamos los registros específicamente y descubrimos que ha habido varios ataques de préstamos rápidos cada mes desde principios de este año. Muestra que el ataque de préstamo flash ya no es un evento accidental.

Un ataque de préstamo flash anterior

El más reciente es OUSD. El núcleo del esquema de ataque es préstamo flash + ataque de reentrada. El proceso aproximado es.

1. El atacante primero tomó prestada una gran cantidad de activos principales, como ETH con préstamos flash, y luego los inyectó en varios protocolos DeFi para realizar operaciones como la acuñación de monedas y la minería de liquidez.

PitchBook: la cantidad total de financiamiento en la industria del cifrado esta semana superó los US$ 1800 millones, un aumento del 36 % con respecto a la semana pasada: Jinse Finance informó que, según los datos de inversión y financiamiento de PitchBook, se inyectaron más de US$ 1820 millones en el cifrado y campos de blockchain esta semana. En comparación con la escala de financiamiento de $ 1.34 mil millones de la semana anterior, ha aumentado en un 36%. Entre ellos, vale la pena señalar que:

1. Immutable completó un financiamiento de US$200 millones con una valoración de US$2.500 millones, liderado por Temasek, y participado por Tencent y Animoca Brands;

2. Bain Capital lanzó una inversión de capital de riesgo de cifrado de USD 560 millones, que se espera invierta en 30 empresas y protocolos de infraestructura de cifrado y DeFi.

3. Cake DeFi lanzó Cake DeFi Ventures (CDV), una institución de capital de riesgo encriptada de US$100 millones, que se enfoca en áreas como Web 3 y Metaverse;

4. Espresso Systems, una solución de privacidad y extensión de Web3, completó $32 millones en financiamiento;

5. Kado, un desarrollador de pago de moneda estable, completó un financiamiento de 5,4 millones de dólares estadounidenses;

6. Swim Protocol completó $4 millones en financiamiento, liderado por Pantera Capital, con la participación de FTX, Alameda Research y Coinbase Ventures. [2022/3/12 13:52:23]

2. Luego, debido a que los atacantes tienen mucho dinero en sus manos, pueden manipular el precio y usar algunas lagunas de diseño para controlar el juicio del sistema. (Muchos contratos se basan en relaciones de precio o valor de activos como base para juzgar comportamientos específicos)

LocalBitcoins eliminará las tarifas de transacción para los usuarios ucranianos: Jinse Finance informó que la plataforma de comercio de criptomonedas LocalBitcoins Para mostrar su apoyo a Ucrania, LocalBitcoins está eliminando las tarifas de transacción para los ucranianos que usan el intercambio, incluidas las tarifas de transacción dentro y fuera del país, hasta nuevo aviso . El director de marketing de LocalBitcoins, Jukka Blomberg, dijo en un comunicado de prensa: "El valor central de LocalBitcoins es la libertad. Entendemos que Ucrania se enfrenta actualmente a tiempos extremadamente difíciles. Por esta razón, LocalBitcoins ha eliminado todos los costos".

El intercambio agregó a través de Twitter que el movimiento significa que todos los ucranianos registrados tienen una billetera gratuita que pueden usar para enviar y recibir bitcoins. Ucrania también tendrá un método viable para intercambiar donaciones de bitcoins por la moneda local, la hryvnia. (coingape)[2022/3/3 13:33:45]

3. El resultado final es que tales operaciones harán que el sistema pague al atacante mucho más que los activos iniciales, al final el atacante repetirá estas operaciones, y finalmente retirará o venderá los activos excedentes obtenidos en el contrato.

La red Ethereum ha destruido actualmente más de 1.165.900 ETH: Jinse Finance informó que, según los datos de Ultrasound, hasta el momento, la red Ethereum ha destruido un total de 1.165.970,96 ETH. Entre ellos, OpenSea destruyó 123 158,05 ETH, ETHtransfers destruyó 114 350,81 ETH y UniswapV2 destruyó 106 644,08 ETH. Nota: Dado que EIP-1559 se introdujo en la actualización de Ethereum London, la red Ethereum ajustará dinámicamente la tarifa base de cada transacción de acuerdo con la demanda de la transacción y el tamaño del bloque, y esta parte de la tarifa se quemará y destruirá directamente. [2021/12/11 7:32:40]

4. Luego, el atacante toma parte del dinero para devolver el dinero prestado en el préstamo flash y finaliza todo el proceso de ataque.

Esencialmente, la lógica central de estos ataques es realizar operaciones de arbitraje anormales con grandes cantidades de fondos.

El préstamo flash no es una escapatoria, pero amplía el riesgo de lagunas

Deri Protocol, un acuerdo de derivados descentralizados, coopera con el juego NFT My DeFi Pet para promover la integración de GameFi: según las noticias del 6 de diciembre, Deri Protocol, un acuerdo de derivados descentralizados, ha llegado a una cooperación con el juego NFT My DeFi Pet para liderar la integración de GameFi. Deri Protocol y My DeFi Pet trabajarán juntos para construir un escenario de juego innovador que permita a los jugadores obtener derivados, al tiempo que rompe las complejas barreras de las transacciones de derivados a través de un juego en cadena completamente integrado e intuitivo, lo que les permite obtener recompensas financieras. Con la integración de Deri con My DeFi Pet, las mascotas en el juego permitirán a los jugadores explorar la experiencia de intercambiar futuros perpetuos y opciones perpetuas de una manera fácil. [2021/12/6 12:54:38]

Entre ellos, encontramos que aunque el concepto de "préstamo flash" se ha utilizado como palabra clave en varios incidentes recientes, el préstamo flash en sí no está directamente relacionado con el ataque en sí.

El día antes del ataque, el proyecto Value DeFi todavía afirmaba ser el protocolo más seguro

Pero es innegable que los préstamos flash se han convertido en una herramienta de ataque extremadamente importante. Para describir su papel en una oración: "Te permite actuar como una ballena gigante durante la transacción". no tienen nada. Las personas que ni siquiera tienen un crédito básico se convertirán en una gran ballena con mucho dinero en un corto período de tiempo. Lo más importante es que estas personas no necesitan ningún permiso, no necesitan un buen crédito. certificados, y no es necesario pagar una garantía igual o superior como precio. Es un lobo blanco con las manos completamente vacías.

El préstamo flash en sí mismo no es una escapatoria, pero aumenta de manera invisible el riesgo de que esas lagunas sean atacadas, porque el primer atacante no necesita ningún costo, y la fuente del segundo ataque aumenta considerablemente, y puede ser explotado por cualquiera que tenga información sobre la escapatoria como herramienta de ataque.

Innovación peligrosa: ¿Qué salió mal con los préstamos flash?

De hecho, los préstamos flash se consideraban una de las mayores innovaciones en DeFi antes de que fueran criticados. El concepto de préstamo flash fue propuesto por primera vez por el protocolo Marble en 2018. En ese momento, la idea del desarrollador era completar el préstamo de riesgo cero a través de contratos inteligentes. La plataforma de contrato inteligente procesa la transacción de una sola vez, y si el prestatario no paga el préstamo, la transacción completa se revierte como si el préstamo nunca hubiera ocurrido.

El punto clave es la función de reversión de transacciones de blockchain: el usuario y el contrato inician una transacción, el contrato le presta al usuario una suma de dinero y luego el mismo usuario devuelve el monto prestado y el interés correspondiente en esta transacción. Si no se reembolsa, la transacción se considerará inválida y luego se revertirá, y no habrá transferencia de préstamo. Esto es completamente impensable en el sentido tradicional, porque pedir prestado no requiere crédito ni garantía.

De hecho, el propósito de los préstamos flash al principio era proporcionar herramientas de financiación de arbitraje convenientes para los arbitrajistas, como el arbitraje descentralizado entre intercambios, la liquidación de préstamos en múltiples plataformas de préstamos o la refinanciación. préstamo de Marble Bank, compre tokens en un intercambio descentralizado DEX y luego venda tokens a un precio más alto en otro DEX, y luego obtenga una ganancia de la diferencia. Tal propósito es normal, y tal escenario también ocurre en las finanzas tradicionales. La única diferencia es el umbral cero y el costo cero de los préstamos flash.

Pero desafortunadamente, podemos tapar las lagunas, pero nunca podemos prevenir los corazones de las personas. Los piratas informáticos o los atacantes potenciales encontrarán que los préstamos rápidos pueden proporcionar suficientes fondos iniciales para el ataque. Otra consecuencia de esto es que, debido a que el dinero del pirata informático es prestado, el dinero no está directamente relacionado con el pirata informático en sí. Las identidades también son más difíciles de identificar. rastro.

Entonces, para resumirlo en una oración: los préstamos rápidos reducen el riesgo de atacantes y los ataques serán más aleatorios.

Flash Loans+: otro uso potencial de ataque

Como herramienta, el uso de préstamos flash es algo que nunca podemos imaginar y predecir. No podemos subestimar la sabiduría de los "científicos". Además de los ataques económicos, se ha descubierto que los préstamos flash son aplicables a ataques en otros campos, como la manipulación del gobierno de las comunidades descentralizadas.

Recientemente, el equipo de desarrollo de contratos inteligentes de la Fundación Maker detectó una violación de votación que ocurrió en la propuesta de gobierno de MakerDAO. Generalmente significa que una propuesta en la comunidad debe ser votada por usuarios que tienen tokens de gobierno, y luego una persona usa préstamos rápidos para prestar. Luego, los activos totales se utilizan como garantía para obtener una gran cantidad de tokens de gobernanza en la plataforma de préstamos, para participar en la votación y luego devolverlos después de la votación.

Muchas personas pueden sudar frío cuando escuchan esto, porque si esta vez se pasa una propuesta estratégica favorable al atacante, las consecuencias serán mucho más graves que un ataque de arbitraje, y dicho ataque es obviamente más serio.

El préstamo flash en sí no tuvo ninguna falla en esta confusión. En cambio, es un tipo de innovación que hace que las personas brillen. A través de productos como el préstamo flash, hemos visto cuán grande es el espacio de imaginación de DeFi. Sin embargo, debido al hecho de que DeFi se encuentra actualmente en una etapa experimental, una gran cantidad de lagunas y atacantes utilizarán préstamos flash para diversos fines ilegales, por lo que muchas personas piensan que los préstamos flash son una innovación extremadamente peligrosa. préstamos flash, las partes del proyecto prestan más atención a la seguridad, que también es un tipo de valor.

Tags：

Luna