Атака мгновенного кредита: обратная сторона DeFi
Мгновенный кредит или флеш-кредит — функция некоторых DeFi-платформ, предлагающая любому пользователю моментальное заимствование криптовалют без залоговых средств и проверки платежеспособности. Этой функцией научились пользоваться мошенники.
Легкость и скорость, с которыми можно получить огромную сумму в обмен на обязательство вернуть средства в назначенное время, привлекают большое количество трейдеров, арбитражников и, конечно же, хакеров. Если первым нужны деньги для спекуляций на цене актива, то последние используют мгновенные кредиты, чтобы задействовать их в краже криптовалюты у сторонних уязвимых dApps.
Взломы DeFi-приложений с применением необеспеченной ссуды считаются самыми дешевыми и неуловимыми. Поэтому злоумышленники практикуют этот способ чаще всего. В результате сформировалась целая категория эксплойтов, получившая название — атака мгновенного кредита (Flash Loan Attack).
Как происходит атака мгновенного кредита?
Хакер берет флеш-кредит у DeFi-приложения. Обычно речь идет о крипте на десятки миллионов долларов. Дальнейшие действия зависят от стратегии, тактики, слабых мест выбранной жертвы и целей злоумышленника.
Он может начать манипулировать ценой полученного актива на определенной бирже, воспользовавшись несовершенством блокчейн-оракула.
Но чаще всего хакеры предварительно отыскивают недостатки и неточности в коде смарт-контракта, которые можно приспособить для кражи цифровых активов. Мгновенные кредиты нужны им, чтобы воспользоваться услугами уязвимой DeFi-платформы для увеличения начального депозита и похищения средств. После полученного профита злоумышленник возвращает первично позаимствованные криптовалюты, так как без этого условия его кредит аннулируется, что нарушит историю транзакций и всю схему. Все это может происходить в течение 10 минут (точнее, за период формирования блока в блокчейне).
Последняя громкая атака с использованием флеш-кредита произошла в марте 2023 года. Этот случай наглядно иллюстрирует то, как работает данный тип эксплойта.
Хакер получил мгновенное заимствование на сумму 30 млн долларов в стейблкоинах DAI от платформы Aave. Затем он перевел 20 млн DAI под залог на площадку Euler Finance, чтобы взять в долг Х10 от начальных средств. Сделал он это, чтобы воспользоваться уязвимостью в смарт-контракте, которая позволяла направить все средства на свой адрес.
В итоге у платформы криптокредитования Euler Finance было изъято около 200 млн долларов, а ее собственный токен EUL обвалился на 45%. Однако после этого инцидента начались продолжительные переговоры с хакером и умоляющие просьбы вернуть средства от пользователей площадки. По сообщениям Euler Finance, взломщик возместил убытки и даже извинился.
Как DeFi-платформы противодействуют этому?
К счастью, существуют инструменты и меры профилактики, которые защищают приложения децентрализованных финансов от крупных потерь. Например, для предотвращения манипулирования ценой на DEX можно установить автоматический алгоритм, который будет блокировать торговлю при низкой ликвидности, внезапном падении или росте котировок. Если хакер обнаружит такой механизм на платформе, вряд ли он будет использовать мгновенный кредит для атаки на торговую площадку.
Ключевыми средствами защиты являются:
- инструменты, позволяющие контролировать доступ к определенным функциям платформы;
- использование проверенных библиотек и фреймворков для запуска смарт-контрактов. К таким относится OpenZeppelin;
- проведение аудита смарт-контрактов от заслуживающих доверия компаний по кибербезопасности блокчейнов;
- подключение разных блокчейн-оракулов для более достоверных ценовых данных.
Помимо этого, осторожные DeFi-платформы устанавливают ограничения на выдачу мгновенных кредитов и другие услуги, касающиеся заимствования средств. Наличие лимитов позволяет снизить риск проведения атаки флеш-кредита. Ведь хакеров привлекает возможность оперирования крупной суммой в рамках одной транзакции.
Временное блокирование криптовалют на их использование после выдачи заимствования также отталкивает злоумышленников. В таком случае можно проверить детали соглашения на обнаружение подозрительных нюансов.
Впрочем, судя по частоте атак Flash Loan, далеко не все DeFi-платформы прибегают к использованию методов противодействия.