I prestiti flash non T il problema, lo sono gli oracoli dei prezzi centralizzati

Dall'inizio dell'anno, l'ecosistema Finanza decentralizzata (DeFi) è cresciuto rapidamente fino a oltre 12 miliardi di dollari di valore totale bloccatoCon questa crescita esponenziale, sono aumentati gli incentivi per gli attori malintenzionati a manipolare e attaccare i protocolli DeFi vulnerabili, spesso a spese degli utenti abituali.

ONE degli strumenti più recenti utilizzati in molti attacchi DeFi sono i prestiti flash, un nuovo tipo di primitivo finanziario che consente agli utenti di aprire prestiti non garantiti con la sola condizione che il prestito venga rimborsato entro la stessa transazione o venga annullato. Si tratta di un allontanamento significativo dai prestiti DeFi tradizionali, che spesso richiedono all'utente di sovra-garantire un prestito in anticipo.

Adelyn Zhou è CMO diLaboratori Chainlink, dove dirige il marketing di Chainlink, la rete oracolare decentralizzata più adottata al mondo.

La novità di un prestito flash è che può temporaneamente trasformare chiunque nel mondo in un attore molto ben capitalizzato, con il potenziale per manipolare improvvisamente il mercato. Nella recente serie di attacchi, abbiamo visto attori malintenzionati usare prestiti flash per prendere in prestito, scambiare, depositare e di nuovo prendere in prestito istantaneamente un gran numero di token in modo da poter spostare artificialmente il prezzo di un token su un singolo exchange. Questa sequenza è essenzialmente il piede nella porta, che consente all'attaccante di sfruttare i prezzi anomali di quell'exchange.

Quando i prestiti flash vengono utilizzati come parte di un piano malevolo più ampio per manipolare un protocollo e rubare i suoi fondi, la frase "attacco al prestito flash" diventa il termine Cripto HOT della settimana. Sia i media che gli influencer di Twitter si concentrano sul funzionamento del prestito flash, sezionando ogni passaggiol'attore malintenzionato ha tentato di saltare dada gettone a gettone, da protocollo a protocollo, tutto all'interno di ONE transazione.

Ma l'espressione "attacco flash loan"T cattura l'intero problema in questione. I prestiti flash non creano vulnerabilità all'interno della DeFi, ma semplicemente rivelano vulnerabilità già esistenti. Gli "attacchi flash loan" sono spesso solo attacchi agli oracoli, le entità che collegano le applicazioni DeFi on-chain con dati off-chain, come il prezzo di mercato equo di un determinato asset. Il vero rischio sistemico nell'ecosistema DeFi riguarda gli oracoli centralizzati, non i prestiti flash.

Per chi è in disparte a guardare un attacco, c'è qualcosa di affascinante nei prestiti flash. L'idea che chiunque possa improvvisamente controllare enormi quantità di denaro e distribuirle in modi nuovi, esotici e, sì, a volte persino maligni, dimostra come questa Tecnologie possa dare potere all'individuo e sbloccare strumenti finanziari completamente nuovi. Invece di analizzare la funzione e l'obiettivo finali del prestito flash, ci meravigliamo invece dell'ingegnosità del suo creatore e della sofisticatezza dell'attacco. Di conseguenza, i prestiti flash sono sempre più caratterizzati come una pericolosa innovazione DeFi.

Vedi anche: Haseeb Qureshi -L’attacco DeFi “Flash Loan” che ha cambiato tutto

Come afferma Marc Zeller di Aave, un protocollo DeFi che offre prestiti flash, sottolinea in modo succinto, i prestiti flash sono solo uno strumento: "Ti permettono di comportarti come una balena per tutta la durata di una transazione". Qualsiasi attacco eseguito tramite un prestito flash può essere eseguito anche senza un prestito flash da un attore ben capitalizzato. Tutto ciò che fa un prestito flash è rendere temporaneamente chiunque nel mondo un attore ben capitalizzato perché ottenere un prestito flash è senza autorizzazione e non ha requisiti di garanzia iniziali.

Certo, l'accesso aperto a tali fondi aumenta notevolmente il numero di persone che possono portare a termine un attacco del genere. Ma anche in un mondo senza prestiti flash, una maggiore adozione della Tecnologie blockchain continuerà solo a fornire un accesso più rapido a maggiori quantità di liquidità.

Concentrati su ciò che non va

Dobbiamo prestare attenzione a ciò che questi attori malintenzionati stanno effettivamente facendo con i loro nuovi fondi. È emerso chiaramente uno schema: le parti malintenzionate utilizzano prestiti flash per sfruttare i protocolli DeFi che dipendono da un singolo exchange decentralizzato (DEX) come unico oracolo dei prezzi del protocollo. Utilizzano il prestito flash per manipolare e alterare il prezzo di ONE o più asset sul DEX, portando a dati sui prezzi imprecisi immessi nelle applicazioni DeFi utilizzando quell'oracolo dei prezzi basato su DEX.

L'attore malintenzionato sfrutta quindi l'opportunità e genera un profitto a spese dirette degli utenti abituali. Nell'ossessionarsi sullo strumento specifico utilizzato durante l'exploit, il nostro settore trascura la vera lezione di questi attacchi: i protocolli DeFi che si basano su oracoli di prezzo che recuperano dati da un'unica sede di trading possono essere compromessi da attori con grandi quantità di denaro.

Vedi anche: Paul Brody -Le aziende hanno bisogno di terze parti affinché gli Oracle funzionino

Si tratta di attacchi Oracle, con vettori di attacco che non sono stati soloprevisto, ma hanno anche giàè successo prima. L'attenzione sui prestiti flash ci distrae da un problema più grande: i protocolli DeFi con centinaia di milioni e talvolta oltre 1 miliardo di $ TVL si affidano ancora a singoli exchange per il loro oracolo di feed dei prezzi. Come abbiamo visto, un singolo exchange può essere soggetto a un'ampia varietà di spostamenti di volume e manipolazione delle balene. Le conseguenze per un altro protocollo che si affida a un feed dei prezzi centralizzato sono chiare.

Oggi, numerosile migliori dApp DeFi per TVL utilizzare reti decentralizzate di oracoli che tengono conto delle differenze di volume e liquidità su più exchange in modo asincrono e su più transazioni diverse, rendendole immuni alla manipolazione finanziata da prestiti flash. Poiché sempre più utenti sono attratti dall'accessibilità finanziaria e dalle opportunità di questo ecosistema, e poiché i protocolli DeFi assorbono più valore dai Mercati globali, spetta ai responsabili di questi protocolli adottare soluzioni di oracoli decentralizzati che proteggano gli utenti da quelli che sono, ormai, attacchi ben compresi e prevenibili.

Quindi la prossima volta che senti la frase "attacco flash loan", pensaci due volte. Il flash loan è stato probabilmente utilizzato per colpire una vulnerabilità specifica nel sistema: un oracolo dei prezzi senza copertura di mercato. L'oracolo dovrebbe essere la fonte definitiva di verità di un protocollo, sul prezzo di un asset, sullo stato di un mercato. Come abbiamo visto, chiunque riesca a manipolare quella fonte ha un enorme guadagno. La verità dietro gli attacchi flash loan: sono finanziati da prestiti flash, ma sono attacchi price oracle.