T Problema ang Mga Flash Loan, Ang Mga Oracle ng Sentralisadong Presyo

Mula sa simula ng taon, ang ecosystem ng desentralisadong Finance (DeFi) ay mabilis na lumaki sa higit sa $12 bilyon sa kabuuang halaga na naka-lock. Sa exponential growth na ito, tumaas ang mga insentibo para sa mga malisyosong aktor na manipulahin at atakehin ang mga masusugatan na DeFi protocol, kadalasan sa kapinsalaan ng mga regular na user.

Ang ONE sa mga pinakakamakailang tool na ginamit sa maraming pag-atake sa DeFi ay ang mga flash loans – isang bagong uri ng pinansiyal na primitive na nagbibigay-daan sa mga user na magbukas ng mga uncollateralized na loan na may tanging takda na ang loan ay babayaran sa loob ng parehong transaksyon o ito ay ibabalik. Ito ay isang makabuluhang pag-alis mula sa tradisyonal na pagpapautang ng DeFi, na kadalasang nangangailangan ng isang user na mag-over-collateralize ng isang pautang nang maaga.

Si Adelyn Zhou ay CMO ng Chainlink Labs, kung saan pinamunuan niya ang marketing para sa Chainlink, ang pinakatinatanggap na desentralisadong oracle network sa mundo.

Ang bagong bagay ng isang flash loan ay na maaari nitong pansamantalang gawin ang sinuman sa mundo na isang napakahusay na kapital na aktor, na may potensyal na biglang manipulahin ang merkado. Sa kamakailang string ng mga pag-atake, nakita namin ang mga nakakahamak na aktor na gumagamit ng mga flash loan upang agad na humiram, magpalit, magdeposito at muling humiram ng maraming mga token upang artipisyal nilang mailipat ang presyo ng isang token sa isang palitan. Ang sequence na ito ay mahalagang paa sa pinto, na nagbibigay-daan sa umaatake na samantalahin ang maanomalyang pagpepresyo ng exchange na iyon.

Kapag ginamit ang mga flash loan bilang bahagi ng isang mas malaking nakakahamak na pamamaraan upang manipulahin ang isang protocol at nakawin ang mga pondo nito, ang pariralang "pag-atake ng flash loan" ay nagiging HOT na termino ng Crypto ng linggo. Ang mga media outlet at Twitter influencer ay parehong tumutuon sa mga gawain ng flash loan, paghihiwalay ng bawat hakbang tumalon ang malisyosong aktor token sa token, protocol sa protocol, lahat sa loob ng ONE transaksyon.

Ngunit ang pariralang "pag-atake ng flash loan" ay T nakukuha ang kumpletong isyu sa kamay. Ang mga flash loan ay hindi gumagawa ng mga kahinaan sa loob ng DeFi - naghahayag lamang sila ng mga kahinaan na mayroon na. Ang "mga pag-atake ng flash loan" ay kadalasang mga pag-atake lamang sa mga orakulo, ang mga entity na nagkokonekta sa mga on-chain na DeFi application na may off-chain na data, gaya ng patas na presyo sa merkado ng isang partikular na asset. Ang tunay na sistematikong panganib sa DeFi ecosystem ay nasa paligid ng mga sentralisadong orakulo, hindi mga flash loans.

Para sa mga nasa sideline na nanonood ng pag-atake, mayroong isang bagay na kaakit-akit tungkol sa mga flash loan. Ang ideya na ang sinuman ay maaaring biglang kontrolin ang malaking halaga ng pera at i-deploy ito sa nobela, kakaiba at, oo, minsan kahit na malisyosong paraan ay nagpapakita kung paano ang Technology ito ay maaaring magbigay ng kapangyarihan sa indibidwal at mag-unlock ng mga bagong instrumento sa pananalapi. Sa halip na pag-aralan ang ultimong function at target ng flash loan, sa halip ay namamangha kami sa katalinuhan ng lumikha nito at sa pagiging sopistikado ng pag-atake. Bilang resulta, ang mga flash loan ay lalong nailalarawan bilang isang mapanganib na pagbabago sa DeFi.

Tingnan din ang: Haseeb Qureshi - Ang Pag-atake ng DeFi 'Flash Loan' na Nagbago sa Lahat

Bilang Marc Zeller ng Aave, isang DeFi protocol na nag-aalok ng mga flash loans, maikling ipinunto, ang mga flash loans ay isang tool lamang: "Pinapayagan ka nitong kumilos tulad ng isang balyena sa tagal ng isang transaksyon." Anumang pag-atake na ginawa sa pamamagitan ng isang flash loan ay maaari ding isagawa nang walang flash loan ng isang aktor na may mahusay na kapital. Ang ginagawa lang ng flash loan ay pansamantalang gawing artista ang sinuman sa mundo dahil ang pagkuha ng flash loan ay walang pahintulot at walang paunang mga kinakailangan sa collateral.

Oo naman, ang bukas na pag-access sa mga naturang pondo ay lubos na nagpapataas ng bilang ng mga taong maaaring magsagawa ng gayong pag-atake. Ngunit kahit na sa isang mundo na walang flash loans, ang tumaas na paggamit ng blockchain Technology ay magpapatuloy lamang sa pagbibigay ng mas mabilis na access sa mas malaking halaga ng liquidity.

Tumutok sa kung ano ang mali

Kailangan nating bigyang pansin kung ano talaga ang ginagawa ng mga malisyosong aktor na ito sa kanilang mga bagong nahanap na pondo. Malinaw na lumitaw ang isang pattern: Gumagamit ang mga nakakahamak na partido ng mga flash loans para samantalahin ang mga DeFi protocol na umaasa sa isang solong decentralized exchange (DEX) bilang nag-iisang oracle ng presyo ng protocol. Ginagamit nila ang flash loan upang manipulahin at i-skew ang presyo ng ONE o maramihang asset sa DEX, na humahantong sa hindi tumpak na data ng presyo na ipinapadala sa mga DeFi application gamit ang DEX-based na price oracle na iyon.

Pagkatapos ay sinasamantala ng malisyosong aktor ang pagkakataon at kumita ng tubo sa direktang gastos ng mga regular na gumagamit. Sa pagkahumaling sa partikular na tool na ginamit sa panahon ng pagsasamantala, tinatanaw ng aming industriya ang tunay na aral mula sa mga pag-atakeng ito: Ang mga protocol ng DeFi na umaasa sa mga orakulo ng presyo na kumukuha ng data mula sa iisang lugar ng kalakalan ay maaaring ikompromiso ng mga aktor na may malaking halaga ng pera.

Tingnan din: Paul Brody - Nangangailangan ang Mga Negosyo ng Mga Third Party para gumana ang Oracles

Ito ay mga pag-atake ng orakulo, na may mga vector ng pag-atake na hindi lamang nangyari hinulaan, ngunit mayroon na rin nangyari dati. Ang pagtuon sa mga flash loans ay nakakaabala sa amin mula sa isang mas malaking isyu na ang DeFi protocol na may daan-daang milyon at minsan ay umaasa pa rin sa $1 bilyon na TVL sa mga solong palitan para sa kanilang price feed oracle. Tulad ng nakita natin, ang isang palitan ay maaaring sumailalim sa isang malawak na pagkakaiba-iba ng mga pagbabago sa dami at pagmamanipula ng balyena. Ang mga kahihinatnan para sa isa pang protocol na umaasa sa isang sentralisadong feed ng presyo ay malinaw.

Ngayon, marami nangungunang DeFi dApps ng TVL gumamit ng mga desentralisadong network ng mga orakulo na nagsasaalang-alang ng mga pagkakaiba sa dami at pagkatubig sa maraming palitan nang asynchronous at sa maraming iba't ibang transaksyon, na ginagawang hindi natatagpuan ang mga ito sa pagmamanipula na pinondohan ng pautang. Dahil mas maraming user ang naaakit sa financial accessibility at pagkakataon ng ecosystem na ito, at habang ang mga DeFi protocol ay sumisipsip ng higit na halaga mula sa mga pandaigdigang Markets, tungkulin ng mga maintainer ng mga protocol na ito na magpatibay ng mga desentralisadong solusyon sa oracle na nagpoprotekta sa mga user mula sa kung ano ang, sa ngayon, mahusay na naiintindihan, maiiwasang mga pag-atake.

Kaya sa susunod na marinig mo ang pariralang "pag-atake ng flash loan," mag-isip nang dalawang beses. Ang flash loan ay malamang na ginamit upang i-target ang isang partikular na kahinaan sa system: isang price oracle na walang saklaw sa merkado. Ang orakulo ay dapat na isang tiyak na mapagkukunan ng katotohanan ng isang protocol - tungkol sa presyo ng isang asset, tungkol sa estado ng isang merkado. Tulad ng nakita na natin, sinuman ang maaaring manipulahin ang pinagmulang iyon ay naninindigan upang makakuha ng napakalaking. Ang katotohanan sa likod ng mga pag-atake ng flash loan: Pinopondohan sila ng mga flash loan, ngunit ang mga ito ay mga pag-atake ng oracle sa presyo.