Ang DeFi 'Flash Loan' Attack na Nagbago sa Lahat

Si Haseeb Qureshi ay isang managing partner sa Dragonfly Capital, isang cross-border Crypto venture fund. Lumilitaw ang isang mas mahabang bersyon ng artikulo sa Katamtaman.

Ang mga flash loans ay naging sentro ng atensyon kamakailan. Kamakailan, dalawang hacker ang gumamit ng mga flash loans upang atakehin ang margin trading protocol bZx, una sa a $350,000 na pag-atake at kalaunan sa isang $600,000 copycat attack.

Ang mga pag-atake na ito ay, sa isang salita, kahanga-hanga. Sa bawat pag-atake, ang isang walang pera na umaatake ay agad na humiram ng daan-daang libong dolyar ETH, sinulid ito sa pamamagitan ng isang hanay ng mga masusugatan na on-chain na protocol, kumuha ng daan-daang libong dolyar sa mga ninakaw na asset, at pagkatapos ay binayaran ang kanilang napakalaking ETH loan. Ang lahat ng ito ay nangyari sa isang iglap — iyon ay, sa isang transaksyon sa Ethereum .

T namin alam kung sino ang mga attacker na ito o kung saan sila nanggaling. Parehong nagsimula sa karaniwang wala at lumayo na may daan-daang libong dolyar ang halaga. Ni hindi nag-iwan ng anumang bakas upang makilala ang kanilang sarili.

Dahil sa mga pag-atakeng ito, marami akong iniisip tungkol sa mga flash loan at ang mga implikasyon nito para sa seguridad ng DeFi. Sa tingin ko ito ay nagkakahalaga ng pag-iisip nang mabuti sa publiko.

Sa madaling salita: Naniniwala ako na ang mga flash loans ay isang malaking banta sa seguridad. Ngunit hindi mawawala ang mga flash loan, at kailangan nating pag-isipang mabuti ang magiging epekto nito para sa seguridad ng DeFi sa hinaharap.

Ano ang isang flash loan?

Ang konsepto ng isang flash loan ay unang tinawag ng Marble Protocol noong 2018. Ibinebenta ni Marble ang sarili bilang isang "smart contract bank," at ang produkto nito ay isang simple ngunit napakatalino na DeFi innovation: zero-risk loans sa pamamagitan ng smart contract.

Paano magkakaroon ng zero risk ang isang loan?

Ang mga tradisyunal na nagpapahiram ay may dalawang anyo ng panganib. Ang una ay ang default na panganib: Kung ang nanghihiram ay tatakbo kasama ang pera, malinaw na nakakapagod iyon. Ngunit ang pangalawang panganib sa isang tagapagpahiram ay ang panganib sa illiquidity: Kung ang isang tagapagpahiram ay nagpapahiram ng napakaraming mga ari-arian nito sa mga maling pagkakataon o T nakatanggap ng mga napapanahong pagbabayad, ang tagapagpahiram ay maaaring hindi inaasahang hindi matugunan at hindi matugunan ang sarili nitong mga obligasyon.

Ang mga flash loan ay nagpapagaan sa parehong mga panganib. Ang isang flash loan ay karaniwang gumagana tulad nito: Papahiramin kita ng maraming pera hangga't gusto mo para sa solong transaksyong ito. Ngunit sa pagtatapos ng transaksyong ito, dapat mo akong bayaran ng kahit gaano kalaki sa ipinahiram ko sa iyo. Kung hindi mo magawa iyon, awtomatiko kong ibabalik ang iyong transaksyon! (Oo, maaari ang mga matalinong kontrata gawin mo yan.)

Sa madaling salita, atomic ang iyong flash loan. Kung hindi mo mabayaran ang utang, ang buong bagay ay maibabalik na parang hindi nangyari ang utang.

Ang isang bagay na tulad nito ay maaari lamang umiral sa mga blockchain. Hindi ka makakagawa ng mga flash loan sa, sabihin, BitMEX. Ito ay dahil ang mga smart-contract na platform ay nagpoproseso ng mga transaksyon nang paisa- ONE , kaya lahat ng nangyayari sa isang transaksyon ay isinasagawa nang sunud-sunod bilang isang batch na operasyon. Maaari mong isipin ito bilang iyong transaksyon na "nagyeyelong oras" habang ito ay isinasagawa. Ang isang sentralisadong palitan, sa kabilang banda, ay maaaring magkaroon ng mga kundisyon ng lahi na ang isang bahagi ng iyong order ay nabigong mapunan. Sa blockchain, ginagarantiyahan mo na ang lahat ng iyong code ay tumatakbo sa ONE linya pagkatapos ng susunod.

Kaya isipin natin ang tungkol sa ekonomiya dito para sa isang segundo. Ang mga tradisyunal na nagpapahiram ay binabayaran para sa dalawang bagay: ang panganib na kanilang tinatanggap (default na panganib at illiquidity na panganib), at para sa gastos sa pagkakataon ng kapital na kanilang ipinahiram (hal., kung makakakuha ako ng 2 porsiyentong interes sa ibang lugar sa kapital na iyon, ang nanghihiram ay dapat magbayad sa akin ng higit sa walang panganib na 2 porsiyento).

Iba ang flash loan. Ang mga flash loan ay walang panganib at walang gastos sa pagkakataon! Ito ay dahil ang nanghihiram ay "nag-froze time" sa tagal ng kanilang flash loan, kaya sa mata ng sinuman, ang kapital ng system ay hindi kailanman nasa panganib at hindi kailanman nabigatan, samakatuwid hindi ito maaaring makakuha ng interes sa ibang lugar (ibig sabihin, wala itong gastos sa pagkakataon).

Nangangahulugan ito, sa isang kahulugan, walang gastos sa pagiging isang flash lender. Ito ay malalim na counterintuitive. Kaya magkano ang dapat na halaga ng isang flash loan sa equilibrium (ibig sabihin, kapag ang market demand at supply ay balanse)?

Karaniwan, ang mga flash loan ay dapat na libre. O, nang mas maayos, dapat ay may sapat na maliit na bayad para ma-amortize ang halaga ng pagsasama ng tatlong karagdagang linya ng code upang gawing flash-lendable ang isang asset.

Ang mga flash loans ay hindi maaaring maningil ng interes sa tradisyonal na kahulugan, dahil aktibo ang loan para sa zero time (anumang APR * 0 = 0). At siyempre, kung ang mga flash lender ay naniningil ng mas mataas na mga rate, sila ay mabilis na malalampasan ng iba pang mga flash lending pool na naniningil ng mas mababang mga rate.

Ginagawa ng flash lending na isang tunay na kalakal ang kapital. Ang karera hanggang sa ibaba ay hindi maiiwasang magreresulta sa mga zero na bayad o isang maliit na nominal na bayad. Ang DYDX [trading platform] ay kasalukuyang naniningil ng zero fee para sa flash lending. Ang Aave, sa kabilang banda, ay naniningil ng 0.09 porsiyento sa prinsipal para sa mga flash loan. Pinaghihinalaan ko na hindi ito napapanatiling at, sa katunayan, mayroon ang kanilang komunidad nanawagan para sa pagbabawas ng mga bayarin sa zero. (Tandaan na alinman sa mga pag-atake na nakita namin ay hindi gumamit ng Aave bilang kanilang flash lending pool.)

Ang mga pag-atake ng flash ay may malaking implikasyon sa seguridad

Lalo akong naniwala kung ano talaga ang na-unlock ng mga flash loans ay mga flash attack — mga pag-atakeng masinsinang-kapital na pinondohan ng mga flash loans. Nakita namin ang mga unang sulyap nito sa kamakailang bZx hacks, at sa palagay ko iyon lang ang dulo ng sibat.

Mayroong dalawang pangunahing dahilan kung bakit ang mga flash loan ay lalong kaakit-akit sa mga umaatake.

1. Maraming pag-atake ang nangangailangan ng maraming up-front capital (tulad ng mga pag-atake sa pagmamanipula ng oracle). Kung kumikita ka ng positibong ROI sa $10 milyon ng ETH, malamang na hindi ito arbitrage — malamang na may kalokohan ka.

2. Ang mga flash loans ay nagpapababa ng mantsa para sa mga umaatake. Kung mayroon akong ideya kung paano manipulahin ang isang orakulo na may $10 milyon ng eter, kahit na pagmamay-ari ko ang ganoong kalaking eter, maaaring hindi ko nais na ipagsapalaran ito gamit ang sarili kong kapital. Mababahiran ang aking ETH , maaaring tanggihan ng mga palitan ang aking mga deposito, at mahirap itong maglaba. Ito ay mapanganib! Ngunit kung kukuha ako ng isang flash loan para sa $10 milyon, kung gayon sino ang nagmamalasakit? Baliktad lahat. Hindi tulad ng collateral pool ng DYDX na ituturing na tainted dahil doon nanggaling ang loan ko — parang sumingaw lang yung taint sa DYDX .

Maaaring hindi mo gusto na ang exchange blacklisting ay bahagi ng blockchain security model ngayon. Ito ay medyo squishy at sentralisado. Ngunit ito ay isang mahalagang katotohanan na nagpapaalam sa calculus sa likod ng mga pag-atakeng ito.

Sa Bitcoin puting papel, kilalang inangkin iyon ni Satoshi Bitcoin (BTC) ay ligtas mula sa pag-atake dahil:

“Dapat makita [ng umaatake] na mas kumikita ang paglalaro ayon sa mga tuntunin […] kaysa sa sirain ang sistema at bisa ng kanyang sariling kayamanan.”

Sa mga flash loans, hindi na kailangan ng mga attacker na magkaroon ng anumang skin sa laro. Materyal na binabago ng mga flash loans ang mga panganib para sa isang umaatake.

At tandaan, ang mga flash loans ay maaaring mag-stack! Alinsunod sa limitasyon ng GAS , maaari mong literal na pagsama-samahin ang bawat flash loanable pool sa isang solong transaksyon (pataas ng $50 milyon) at dalhin ang lahat ng kapital na dumadagundong sa isang mahinang kontrata. Ito ay isang $50 milyon na battering ram na ngayon ay maaaring bumangga ang sinuman sa anumang on-chain na pinata, hangga't may lumabas na pera. Nakakatakot ito.

Ano ang ibig sabihin ng lahat ng ito sa mahabang panahon?

Naniniwala ako na ang mga pag-atake ng bZx ay nagbago ng mga bagay.

Hindi ito ang huling flash attack. Ang pangalawang pag-atake ng bZx ay ang unang copycat, at pinaghihinalaan ko na ito ay magsisimula ng isang alon ng mga pag-atake sa mga darating na buwan. Ngayon, libu-libong matatalinong teenager mula sa pinakamalayong bahagi ng mundo ang sumusubok sa lahat ng mga DeFi lego na ito, sinusuri ang mga ito sa ilalim ng mikroskopyo, sinusubukang tuklasin kung may ilang paraan upang makatakas sila ng isang flash attack. Kung namamahala sila upang pagsamantalahan ang isang kahinaan, maaari din silang kumita ng ilang daang libong dolyar - isang halaga na nagbabago sa buhay sa karamihan ng mga bahagi ng mundo.

Sa mga protocol, ang mga pag-atake ng flash ay nangangahulugan na ang modelo ng pagbabanta ay binago na ngayon. Ang matamaan ng isang flash attack pagkatapos ng bZx hacks ay magiging kasing kahihiyan ng matamaan muling pagpasok pagkatapos ng DAO hack: ikaw ang magiging katatawanan ng Crypto. Dapat ay nakita mo na ito.

Sa wakas, ang mga episode na ito ay nagpaisip sa akin tungkol sa isang lumang konsepto sa Crypto: minero-extractable value (MEV). Ang MEV ay ang kabuuang halaga na makukuha ng mga minero mula sa isang blockchain system. Kabilang dito ang mga gantimpala at bayarin sa block, ngunit kabilang din dito ang mga mas malikot na paraan ng pagkuha ng halaga, tulad ng muling pagsasaayos ng mga transaksyon o pagpasok ng mga masasamang transaksyon sa isang bloke.

Sa ibaba, dapat mong isipin ang lahat ng flash attack na ito bilang mga solong transaksyon sa mempool na kumikita ng napakaraming pera. Halimbawa, ang pangalawang pag-atake ng bZx ay nagresulta sa $645,000 na kita sa ETH sa isang transaksyon. Kung minero ka at magsisimula ka nang magmina ng bagong block, isipin ang pagtingin sa mga transaksyon ng nakaraang block at sasabihin sa iyong sarili... "teka, ano? Bakit ko susubukan na magmina ng bagong block sa halagang ~$500, kung ang huling bloke na iyon ay naglalaman ng $645K na tubo??"

Malayo pa tayo sa pagkakaroon ng napapanatiling arkitektura para sa pagbuo ng sistema ng pananalapi sa hinaharap.

Sa halip na palawigin ang kadena, magiging interes mo na bumalik at subukang muling isulat ang kasaysayan na sa halip ay ikaw ang flash attacker. Pag-isipan ito: ang transaksyong iyon lamang ay nagkakahalaga ng higit sa apat na oras na halaga ng mga tapat na mina na bloke ng Ethereum !

Ito ay katulad ng pagkakaroon ng isang espesyal na super-block na naglalaman ng 1,000 beses ang normal na gantimpala sa block — tulad ng inaasahan mo, ang makatuwirang resulta ng naturang super-block ay dapat na isang dogpile ng mga minero na nakikipagkumpitensya upang maulila ang dulo ng kadena at nakawin ang bloke na iyon para sa kanilang sarili.

Sa equilibrium, lahat ng flash attack ay dapat na sa huli ay makuha ng mga minero. (Tandaan na dapat din nilang tapusin ang pagnanakaw ng lahat ng on-chain na arbitrage at pagpuksa.) Ito, sa kabalintunaan, ay magsisilbing isang hadlang laban sa mga pag-atake ng flash, dahil hindi nito magagawang pagkakitaan ang mga umaatake sa kanilang mga natuklasan sa mga kahinaang ito. Marahil sa kalaunan ay sisimulan ng mga minero ang paghingi ng attack code sa pamamagitan ng mga pribadong channel at babayaran ang magiging umaatake ng bayad sa tagahanap. Sa teknikal, maaari itong gawin nang walang pagtitiwala gamit ang mga patunay na walang kaalaman. (Kakaiba kung isipin, tama ba?)

Ngunit iyon ay medyo sci-fi sa ngayon. Malinaw na T ito ginagawa ng mga minero ngayon.

Bakit T sila?

Ang daming dahilan. Mahirap, napakaraming trabaho, mahirap gayahin ang Ethereum Virtual Machine, delikado, magkakaroon ng mga bug na magreresulta sa mga nawawalang pondo o mga naulilang bloke, magdudulot ito ng kaguluhan at ang rogue mining pool ay maaaring magkaroon ng krisis sa PR at matawag na “kaaway ng Ethereum.” Sa ngayon, ang mga minero ay malamang na mas malulugi sa negosyo at mga naulilang bloke kaysa sa kanilang makukuha sa pagsisikap na gawin ito.

Totoo yan ngayon. T ito magiging totoo sa mahabang panahon.

Nagbibigay ito ng isa pang motibasyon para sa Ethereum na magmadali at lumipat sa Ethereum 2.0. Ang DeFi sa Ethereum, habang kamangha-mangha at nakakabighani, ay ganap at hindi na mababawi na sira. Ang DeFi ay hindi matatag sa isang PoW chain, dahil ang lahat ng mga transaksyong may mataas na halaga ay napapailalim sa muling paglalaan ng minero (kilala rin bilang pag-atake ng time bandido).

Para gumana ang mga system na ito sa sukat, kailangan mo ng finality — ang kawalan ng kakayahan ng mga minero na muling isulat ang mga nakumpirmang bloke. Mapoprotektahan nito ang mga nakaraang bloke mula sa muling paglalaan. At kung umiiral ang mga protocol ng DeFi sa magkahiwalay na Ethereum 2.0 shards, T sila magiging bulnerable sa mga flash attack.

Sa aking pagtatantya, ang mga flash attack ay nagbibigay sa amin ng maliit ngunit kapaki-pakinabang na paalala na maaga pa. Malayo pa tayo sa pagkakaroon ng napapanatiling arkitektura para sa pagbuo ng sistema ng pananalapi sa hinaharap.

Sa ngayon, ang flash loans ang magiging bagong normal. Siguro sa katagalan, lahat ng asset sa Ethereum ay magagamit para sa mga flash loans. Lahat ng collateral na hawak ng mga palitan, ng Uniswap, marahil lahat ng ERC-20s mismo.

Sino ang nakakaalam - ito ay ilang linya lamang ng code.