Какие DeFi-проекты стали жертвами Flash Loan атаки?
Использование мгновенных кредитов для атак на смарт-контракты и ценовые оракулы DeFi-платформ ежегодно приносит сектору децентрализованных финансов убытки на сотни миллионов долларов. Такие случаи называют Flash Loan атаками.
Например, в 2021 году флеш-кредиты помогли украсть около 364 млн долларов с разных dApps. А все из-за того, что экспресс-заимствование можно получить в огромных размерах за считанные минуты, без залога и больших комиссий. Нужно всего лишь быстро покрыть долг (в том же блоке, в котором был взят кредит), чтобы избежать аннулирования займа. Хотя такие кредиты довольно рискованны, они популярны среди трейдеров и арбитражников, использующих заемные средства для спекуляций на рынке.
Но также они привлекают хакеров, которые видят в этом беспрепятственную возможность получения капитала для манипуляций. Рассмотрим последние крупнейшие атаки на уязвимости DeFi-приложений с использованием флеш-кредитов.
Euler Finance
В марте 2023 года злоумышленник взломал платформу криптокредитования Euler Finance и украл 170 млн долларов в разных криптовалютах и токенах. После переговоров с командой протокола он вернул практически все средства обратно.
Спонсором атаки стал флеш-кредит на 30 млн стейблкоинов DAI от DeFi-платформы Aave. Он использовался для внесения залога на платформу Euler Finance, чтобы получить другой кредит на сумму 200 млн долларов.
Затем Хакер воспользовался недостатком функции смарт-контракта “Donate To Reserve” в протоколе Euler Finance, с помощью которой средства пользователей переводились на резервный адрес. Злоумышленник обнаружил, что данная функция не анализирует ликвидность пользователей, которые занимают средства. Поэтому он легко создал для своего аккаунта недостаточное кредитное плечо, чтобы платформа ликвидировала его смарт-контракт вместе со средствами из протокола.
Beanstalk
DeFi-протокол Beanstalk взломали в апреле 2022 года. Из него было украдено 181 млн долларов, но, с вычетом расходов на мгновенный кредит и благотворительную деятельность, у хакера осталось 76 млн долларов. Часть полученных криптовалют хакер перевел на кошелек Ukraine Crypto Donation.
Злоумышленник оформил Flash Loan, чтобы внести его в децентрализованный пул для управления проектом Beanstalk. Затем он воспользовался функцией смарт-контракта “Emergency Commit”, чтобы самостоятельно проголосовать за предложение по переводу средств на свой адрес. Это стало возможно после того, как он получил более 70% голосов на фоне внесения огромной суммы депозита.
Cream Finance
Cream Finance взломали в октябре 2021 года на сумму 130 млн долларов.
Платформу атаковали с двух адресов. Злоумышленники взяли мгновенные кредиты в стейблкоинах YUSD с помощью сторонних приложений, а затем воспользовались уязвимостью логики расчетов в децентрализованном хранилище Cream Finance, чтобы удвоить и вывести депозит.
В целом они позаимствовали около 1,5 млрд долларов в крипте, которые с помощью недостатка хранилища превратились в 3 млрд залоговых цифровых активов площадки. Часть средств ушла на выплаты флеш-кредитов, а оставшийся залоговый 1 миллиард на Cream Finance помог им вывести 130 млн долларов в доступных криптовалютах.
Fei Protocol
Fei Protocol атаковали в апреле 2022 года на общую сумму около 80 млн долларов. Взлому подверглись пулы DeFi-платформы. Как и в предыдущих случаях, хакер активировал мгновенный кредит, чтобы использовать эти средства на уязвимой платформе.
Злоумышленник воспользовался ошибкой в функции смарт-контракта, отвечающей за заимствование. Также ему поспособствовала “дырявая” система безопасности, которая позволяла совершать повторные атаки много раз. Проблема Fei Protocol заключалась в том, что после единожды внесенного залога, хакер получил доступ к практически безлимитному кредитованию. Он успел отправить на свой адрес все позаимствованные ETH и другие токены до того, как обновились записи о его неплатежеспособности.
Pancake Bunny
Протокол Pancake Bunny подвергся эксплойту в мае 2021 года. Хакер манипулировал данными внутреннего оракула, отвечающего за ценообразование на платофрме. Он совершил восемь операций, которые принесли ему обернутых токенов BNB на сумму 45 млн долларов.
Злоумышленник взял экспресс-кредит на бирже Pancake Swap на большое количество BNB, начав искусственно влиять на курсы USDT/BNB и BUNNY/BNB на платформе Pancake Bunny. В результате таких манипуляций стоимость собственного токена протокола BUNNY обвалилась на 95%.
Атака произошла из-за того, что Bunny Protocol рассчитывал стоимость свопов, не полагаясь на сторонние блокчейн-оракулы, предоставляющие доступ к истинным ценам. Оперирование лишь внутренними ценовыми данными — это печально известная проблема DeFi.
Помимо перечисленных DeFi-приложений, убытки из-за Flash Loan атак понесли многие другие проекты. Например, Alpha Finance (~37 млн долларов), Spartan Protocol (~30 млн долларов), Xtoken (24 млн долларов), Elephant Money (~22 млн долларов), bEarn (18 млн долларов), Saddle Finance (11 млн долларов).