Menurut laporan baru-baru ini, serangan pinjaman kilat semakin meningkat. Apakah mereka, dan apakah risikonya?
Bayangkan anda boleh membuat pinjaman dengan saiz yang hampir tidak terhad tanpa meletakkan sebarang cagaran. Hanya ada satu tangkapan. Anda perlu membayar balik hampir serta-merta. Bunyi pelik? Ia mungkin berlaku. Tetapi itulah sebenarnya pinjaman kilat. Seperti namanya, pinjaman ini berlaku hampir serta-merta. (Fikirkan adiwira DC Comic, The Flash, yang boleh bergerak pada kelajuan cahaya.)
Laporan baru-baru ini oleh De.Fi menunjukkan bahawa pinjaman kilat semakin meningkat dan pelakon jahat menggunakannya dalam peningkatan jumlah eksploitasi. Pada Q1 tahun ini, $200 juta telah hilang melalui gaya eksploitasi ini.
Tetapi mengapa seseorang ingin membuat pinjaman segera? Baiklah, seperti banyak perkara dalam crypto, ia datang kepada pulangan yang baik.
Pinjaman Kilat dan Serangan Pinjaman Kilat Dijelaskan
Logik pinjaman kilat bergantung pada arbitraj, proses mengambil kesempatan daripada perbezaan harga yang kecil. Tidak seperti jenis pinjaman lain, pinjaman kilat tidak memerlukan proses kelulusan yang panjang, jadi ia boleh dilaksanakan dengan cepat. "Memandangkan yuran rendah yang terlibat dalam pinjaman satu transaksi, terdapat potensi besar untuk pulangan yang tinggi," jelas Artem Bondarenko, Arkitek Perisian di De.Fi, dalam temu bual dengan BeInCrypto. “Bagi pemiutang pinjaman kilat, tiada risiko kerana pinjaman itu dikembalikan serta-merta. Jika tidak, transaksi gagal.”
Dalam kewangan tradisional, tidak ada yang sama seperti pinjaman kilat. Ia serupa dengan pilihan panggilan tetapi dengan beberapa perbezaan yang ketara. Dengan pinjaman kilat, anda boleh menggunakan wang yang dipinjam dengan segera, manakala dengan pilihan panggilan, anda perlu menunggu. Juga, dalam kewangan tradisional, urus niaga biasanya berlaku satu demi satu, manakala dengan pinjaman kilat, ia berlaku dalam blok. Walau bagaimanapun, instrumen jangka pendek ini bukan sepenuhnya tanpa kelemahan, seperti yang digariskan oleh laporan De.Fi.
"Serangan pinjaman kilat berlaku apabila seseorang dapat meminjam jumlah yang besar di satu tempat dan menggunakannya untuk memanipulasi harga dengan membeli atau menjual dalam kuantiti yang banyak, dengan itu mempengaruhi harga aset," kata Bondarenko. "Kemudian menggunakan perubahan harga itu untuk mengeksploitasi pembelian atau penjualan yang bertentangan di sisi lain, mewujudkan arbitraj antara harga di dua tempat, kemudian membayar balik pinjaman asal dan mengantongi perbezaan itu."
"Jika protokol kecairan direka bentuk dengan betul dengan ramalan harga yang betul, ini tidak sepatutnya menjadi isu, tetapi dalam kes di mana reka bentuknya lemah, ia adalah kelemahan yang boleh dieksploitasi dan membawa kepada peristiwa pembubaran besar-besaran," tambah Bondarenko.
Siapa Mangsa?
Pinjaman kilat menarik kepada penyerang kerana ia membenarkan untuk meminjam sejumlah besar mata wang kripto tanpa memberikan cagaran. Untuk mengelakkan serangan sedemikian, langkah keselamatan yang lebih baik seperti audit kod dan reka bentuk kontrak pintar yang mantap boleh dilaksanakan, dan kesedaran tentang potensi vektor serangan boleh ditingkatkan dalam ekosistem DeFi.
Pada 13 Mac, Euler Finance, protokol pinjaman berasaskan Ethereum yang terkenal, telah digodam, dan penyerang mencuri mata wang kripto yang berbeza bernilai jutaan dolar, seperti Dai, USDC, Staked Ethereum dan Wrapped Bitcoin, dengan melaksanakan berbilang transaksi.
Jumlah yang dicuri adalah hampir $196 juta, dengan $8.7 juta dalam Dai, $18.5 juta dalam WBTC, $135.8 juta dalam StETH, dan $33.8 juta dalam USDC.
Penyerang memindahkan dana yang dicuri daripada Binance Smart Chain ke Ethereum menggunakan jambatan berbilang rantai, kemudian melakukan serangan pinjaman kilat. Mereka mendepositkan dana yang dicuri ke dalam Tornado Cash, pengadun crypto yang terkenal, untuk merumitkan usaha pemulihan dan menyembunyikan identiti mereka.
Bulan sebelumnya, pada 16 Februari, Platypus Finance, pembuat pasaran automatik, mengalami serangan pinjaman kilat yang berasingan. Penyerang mencuri stablecoin bernilai $8,500,887, termasuk USDC, USDT, BUSD dan DAI.
Dalam kes ini, penyerang mengambil kesempatan daripada kelemahan dalam mekanisme semakan kesolvenan USP. Dalam proses itu, penyerang memperoleh pinjaman kilat sebanyak 44,000,000 USDC, kemudian menukarnya dengan 44,000,000 Platypus LP-USD. Mereka kemudiannya menghasilkan 41,700,000 token USP tanpa kos, yang ditukar kepada pelbagai stablecoin.
Platypus Finance telah bekerjasama dengan perkhidmatan pihak ketiga untuk membekukan aset yang dicuri, dan beberapa telah dibekukan. Kontrak berniat jahat telah dialih keluar dan langkah keselamatan tambahan dilaksanakan untuk mencegah serangan masa hadapan. Bagaimanapun, penyerang berjaya memindahkan sebahagian daripada dana yang dicuri.
Bagaimana Mengurangkan Risiko?
Dalam satu cara, Pinjaman Flash adalah salah satu penyamaan kripto yang hebat. Mereka membenarkan peniaga dengan modal yang kurang untuk terlibat dalam perdagangan ganjaran tinggi yang biasanya hanya terbuka kepada apa yang dipanggil Paus. "Tetapi seperti yang telah kita lihat berkali-kali, pinjaman kilat juga menimbulkan risiko besar untuk protokol DeFi yang tidak mengambil kira perkara sedemikian," kata Adrian Hetman, Ketua Teknologi pasukan percubaan di Immunefi, kepada BeInCrypto.
“Protokol seharusnya bukan sahaja melindungi diri mereka daripada kemungkinan serangan yang dibolehkan pinjaman kilat tetapi juga daripada serangan Paus, iaitu, apa yang akan berlaku jika pemain besar tiba-tiba menggunakan dana besar mereka untuk menggunakan protokol kami? Adakah sistem akan bertindak seperti yang dimaksudkan? Apakah aliran perniagaan yang 'ditujukan' kami?” Sambung Hetman. "Pemodelan ancaman akan membantu mendedahkan potensi kelemahan sistem."
“Menggunakan Harga Purata Wajaran Masa (TWAP), oracle boleh membantu meminimumkan manipulasi harga dengan purata harga dalam tempoh masa tertentu, menjadikannya lebih sukar bagi penyerang untuk memanipulasi harga dalam satu transaksi. Selain itu, melaksanakan sistem berbilang oracle boleh memberikan redundansi dan semakan silang untuk data harga, mengukuhkan lagi pertahanan terhadap manipulasi,” tambah Hetman.
Dengan melaksanakan pemutus litar, penyerang pinjaman kilat boleh dihalang daripada mendapat keuntungan daripada harga yang dimanipulasi apabila perubahan harga yang ketara dikesan, jelas Hetman. “Apabila punca perubahan harga dikenal pasti dan ditangani, dagangan boleh disambung semula. Ini perlu memasukkan potensi dagangan sah yang mungkin kelihatan mencurigakan dari luar."
“Ia juga penting untuk tidak membenarkan tindakan protokol utama berlaku pada satu blok sahaja. Pinjaman kilat, kebanyakan masa, hanya boleh diambil dalam satu transaksi untuk satu blok,” tambah Hetman.
Penafian
Semua maklumat yang terdapat di laman web kami diterbitkan dengan niat baik dan hanya untuk tujuan maklumat umum. Segala tindakan yang diambil oleh pembaca terhadap maklumat yang terdapat di laman web kami adalah dengan risiko mereka sendiri.
Sumber: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/