Innovación en la punta del cuchillo: ¿Hizo algo mal Flash Loans?

Según la información conocida, ha habido 4 ataques de préstamos rápidos en la última semana, incluidos Value DeFi ($ 5,4 millones), Cheese Bank ($ 3,3 millones), Akropolis ($ 2 millones) y OUSD de hoy ($ 7 millones) Dólar).

Verificamos los registros específicamente y descubrimos que ha habido varios ataques de préstamos rápidos cada mes desde principios de este año. Muestra que el ataque de préstamo flash ya no es un evento accidental.

Un ataque de préstamo flash anterior

El más reciente es OUSD. El núcleo del esquema de ataque es préstamo flash + ataque de reentrada. El proceso aproximado es.

1. El atacante primero tomó prestada una gran cantidad de activos principales, como ETH con préstamos flash, y luego los inyectó en varios protocolos DeFi para realizar operaciones como la acuñación de monedas y la minería de liquidez.

2. Luego, debido a que los atacantes tienen mucho dinero en sus manos, pueden manipular el precio y usar algunas lagunas de diseño para controlar el juicio del sistema. (Muchos contratos se basan en relaciones de precio o valor de activos como base para juzgar comportamientos específicos)

Lodestar, un cliente de consenso de Ethereum de código abierto, lanzó la versión v0.38.0 para solucionar el problema del caché de depósito de eth1: El 11 de junio, el cliente de consenso de Ethereum (Eth2) de código abierto Lodestar lanzó la versión v0.38.0. , así como correcciones menores en el proceso de publicación y los clientes de validación. [2022/6/11 4:18:21]

3. El resultado final es que tales operaciones harán que el sistema pague al atacante mucho más que los activos iniciales, al final el atacante repetirá estas operaciones, y finalmente retirará o venderá los activos excedentes obtenidos en el contrato.

4. Luego, el atacante toma parte del dinero para devolver el dinero prestado en el préstamo flash y finaliza todo el proceso de ataque.

Esencialmente, la lógica central de estos ataques es realizar operaciones de arbitraje anormales con grandes cantidades de fondos.

El préstamo flash no es una escapatoria, pero amplía el riesgo de lagunas

Entre ellos, encontramos que aunque el concepto de "préstamo flash" se ha utilizado como palabra clave en varios incidentes recientes, el préstamo flash en sí no está directamente relacionado con el ataque en sí.

BCH supera la marca de $ 810 con un aumento intradiario del 10,58%: según datos de Huobi Global, BCH aumentó en el corto plazo y superó la marca de $ 810. Ahora se informa en $ 810,12, con un aumento intradiario del 10,58%. el mercado fluctúa mucho, así que haga un buen trabajo en el control de riesgos. [2021/4/14 20:17:36]

El día antes del ataque, el proyecto Value DeFi todavía afirmaba ser el protocolo más seguro

Pero es innegable que los préstamos flash se han convertido en una herramienta de ataque extremadamente importante. Para describir su papel en una oración: "Te permite actuar como una ballena gigante durante la transacción". no tienen nada. Las personas que ni siquiera tienen un crédito básico se convertirán en una gran ballena con mucho dinero en un corto período de tiempo. Lo más importante es que estas personas no necesitan ningún permiso, no necesitan un buen crédito. certificados, y no es necesario pagar una garantía igual o superior como precio. Es un lobo blanco con las manos completamente vacías.

El préstamo flash en sí mismo no es una escapatoria, pero aumenta de manera invisible el riesgo de que esas lagunas sean atacadas, porque el primer atacante no necesita ningún costo, y la fuente del segundo ataque aumenta considerablemente, y puede ser explotado por cualquiera que tenga información sobre la escapatoria como herramienta de ataque.

Innovación peligrosa: ¿Qué salió mal con los préstamos flash?

De hecho, los préstamos flash se consideraban una de las mayores innovaciones en DeFi antes de que fueran criticados. El concepto de préstamo flash fue propuesto por primera vez por el protocolo Marble en 2018. En ese momento, la idea del desarrollador era completar el préstamo de riesgo cero a través de contratos inteligentes. La plataforma de contrato inteligente procesa la transacción de una sola vez, y si el prestatario no paga el préstamo, la transacción completa se revierte como si el préstamo nunca hubiera ocurrido.

El punto clave es la función de reversión de transacciones de blockchain: el usuario y el contrato inician una transacción, el contrato le presta al usuario una suma de dinero y luego el mismo usuario devuelve el monto prestado y el interés correspondiente en esta transacción. Si no se reembolsa, la transacción se considerará inválida y luego se revertirá, y no habrá transferencia de préstamo. Esto es completamente impensable en el sentido tradicional, porque pedir prestado no requiere crédito ni garantía.

De hecho, el propósito de los préstamos flash al principio era proporcionar herramientas de financiación de arbitraje convenientes para los arbitrajistas, como el arbitraje descentralizado entre intercambios, la liquidación de préstamos en múltiples plataformas de préstamos o la refinanciación. préstamo de Marble Bank, compre tokens en un intercambio descentralizado DEX y luego venda tokens a un precio más alto en otro DEX, y luego obtenga una ganancia de la diferencia. Tal propósito es normal, y tal escenario también ocurre en las finanzas tradicionales. La única diferencia es el umbral cero y el costo cero de los préstamos flash.

Pero desafortunadamente, podemos tapar las lagunas, pero nunca podemos prevenir los corazones de las personas. Los piratas informáticos o los atacantes potenciales encontrarán que los préstamos rápidos pueden proporcionar suficientes fondos iniciales para el ataque. Otra consecuencia de esto es que, debido a que el dinero del pirata informático es prestado, el dinero no está directamente relacionado con el pirata informático en sí. Las identidades también son más difíciles de identificar. rastro.

Entonces, para resumirlo en una oración: los préstamos rápidos reducen el riesgo de atacantes y los ataques serán más aleatorios.

Flash Loans+: otro uso potencial de ataque

Como herramienta, el uso de préstamos flash es algo que nunca podemos imaginar y predecir. No podemos subestimar la sabiduría de los "científicos". Además de los ataques económicos, se ha descubierto que los préstamos flash son aplicables a ataques en otros campos, como la manipulación del gobierno de las comunidades descentralizadas.

Recientemente, el equipo de desarrollo de contratos inteligentes de la Fundación Maker detectó una violación de votación que ocurrió en la propuesta de gobierno de MakerDAO. Generalmente significa que una propuesta en la comunidad debe ser votada por usuarios que tienen tokens de gobierno, y luego una persona usa préstamos rápidos para prestar. Luego, los activos totales se utilizan como garantía para obtener una gran cantidad de tokens de gobernanza en la plataforma de préstamos, para participar en la votación y luego devolverlos después de la votación.

Muchas personas pueden sudar frío cuando escuchan esto, porque si esta vez se pasa una propuesta estratégica favorable al atacante, las consecuencias serán mucho más graves que un ataque de arbitraje, y dicho ataque es obviamente más serio.

El préstamo flash en sí no tuvo ninguna falla en esta confusión. En cambio, es un tipo de innovación que hace que las personas brillen. A través de productos como el préstamo flash, hemos visto cuán grande es el espacio de imaginación de DeFi. Sin embargo, debido al hecho de que DeFi se encuentra actualmente en una etapa experimental, una gran cantidad de lagunas y atacantes utilizarán préstamos flash para diversos fines ilegales, por lo que muchas personas piensan que los préstamos flash son una innovación extremadamente peligrosa. préstamos flash, las partes del proyecto prestan más atención a la seguridad, que también es un tipo de valor.

Tags：

Huobi App