Empréstimos rápidos T são o problema, oráculos de preços centralizados são

Desde o início do ano, o ecossistema de Finanças descentralizadas (DeFi) cresceu rapidamente para mais de US$ 12 bilhões em valor total bloqueado. Com esse crescimento exponencial, aumentaram os incentivos para que agentes mal-intencionados manipulem e ataquem protocolos DeFi vulneráveis, muitas vezes às custas de usuários comuns.

Uma das ferramentas mais recentes usadas em muitos ataques DeFi são os empréstimos flash – um novo tipo de primitivo financeiro que permite aos usuários abrir empréstimos sem garantia com a única estipulação de que o empréstimo seja pago de volta na mesma transação ou seja revertido. Este é um afastamento significativo dos empréstimos DeFi tradicionais, que geralmente exigem que o usuário garanta um empréstimo antecipadamente.

Adelyn Zhou é CMO daLaboratórios Chainlink, onde lidera o marketing da Chainlink, a rede oracle descentralizada mais amplamente adotada no mundo.

A novidade de um empréstimo rápido é que ele pode temporariamente tornar qualquer pessoa no mundo um ator muito bem capitalizado, com o potencial de manipular o mercado de repente. Na recente sequência de ataques, vimos atores maliciosos usarem empréstimos rápidos para instantaneamente tomar emprestado, trocar, depositar e novamente tomar emprestado grandes quantidades de tokens para que eles possam mover artificialmente o preço de um token em uma única troca. Essa sequência é essencialmente o pé na porta, permitindo que o invasor explore o preço anômalo dessa troca.

Quando empréstimos flash são usados ​​como parte de um esquema malicioso maior para manipular um protocolo e roubar seus fundos, a frase “ataque de empréstimo flash” se torna o termo Cripto HOT da semana. Os meios de comunicação e influenciadores do Twitter se concentram no funcionamento do empréstimo flash, dissecando cada passoo ator malicioso levou para pular deficha para ficha, protocolo a protocolo, tudo em uma ONE transação.

Mas a frase “ataque de empréstimo relâmpago”T captura o problema completo em questão. Empréstimos relâmpago não criam vulnerabilidades dentro do DeFi – eles simplesmente revelam vulnerabilidades que já existem. “Ataques de empréstimo relâmpago” são frequentemente apenas ataques a oráculos, as entidades que conectam aplicativos DeFi on-chain com dados off-chain, como o preço justo de mercado de um determinado ativo. O risco sistêmico real no ecossistema DeFi está em torno de oráculos centralizados, não de empréstimos relâmpago.

Para aqueles que estão à margem assistindo a um ataque se desenrolar, há algo fascinante sobre empréstimos rápidos. A ideia de que qualquer um pode de repente controlar enormes quantias de dinheiro e aplicá-lo de maneiras novas, exóticas e, sim, às vezes até maliciosas mostra como essa Tecnologia pode capacitar o indivíduo e desbloquear instrumentos financeiros inteiramente novos. Em vez de analisar a função final e o alvo do empréstimo rápido, nós nos maravilhamos com a engenhosidade de seu criador e a sofisticação do ataque. Como resultado, os empréstimos rápidos são cada vez mais caracterizados como uma inovação DeFi perigosa.

Veja também: Haseeb Qureshi -O ataque do DeFi ‘Flash Loan’ que mudou tudo

Como Marc Zeller da Aave, um protocolo DeFi que oferece empréstimos rápidos, aponta sucintamente, empréstimos rápidos são apenas uma ferramenta: “Eles permitem que você aja como uma baleia durante a duração de uma transação.” Qualquer ataque executado por meio de um empréstimo rápido também pode ser executado sem um empréstimo rápido por um ator bem capitalizado. Tudo o que um empréstimo rápido faz é temporariamente tornar qualquer pessoa no mundo um ator bem capitalizado, porque obter um empréstimo rápido é sem permissão e não tem requisitos de garantia iniciais.

Claro, o acesso aberto a tais fundos aumenta muito o número de pessoas que podem realizar tal ataque. Mas mesmo em um mundo sem empréstimos rápidos, a adoção crescente da Tecnologia blockchain só continuará a fornecer acesso mais rápido a maiores quantidades de liquidez.

Concentre-se no que está errado

Precisamos prestar atenção ao que esses atores maliciosos estão realmente fazendo com seus novos fundos. Um padrão surgiu claramente: Partes maliciosas usam empréstimos rápidos para explorar protocolos DeFi que dependem de uma única exchange descentralizada (DEX) como o único oráculo de preço do protocolo. Eles usam o empréstimo rápido para manipular e distorcer o preço de um ou vários ativos na DEX, levando a dados de preço imprecisos sendo alimentados para aplicativos DeFi usando esse oráculo de preço baseado em DEX.

O ator malicioso então explora a oportunidade e gera um lucro às custas diretas dos usuários regulares. Ao ficar obcecado com a ferramenta específica usada durante a exploração, nossa indústria está ignorando a lição real desses ataques: protocolos DeFi que dependem de oráculos de preço que buscam dados de apenas um único local de negociação podem ser comprometidos por atores com grandes quantias de dinheiro.

Veja também: Paul Brody -As empresas precisam de terceiros para que os oráculos funcionem

Estes são ataques de oráculo, com vetores de ataque que não só foramprevisto, mas também jáaconteceu antes. O foco em empréstimos rápidos nos distrai de um problema maior: os protocolos DeFi com centenas de milhões e, às vezes, mais de US$ 1 bilhão em TVL ainda dependem de exchanges únicas para seu oráculo de feed de preços. Como vimos, uma única exchange pode estar sujeita a uma ampla variedade de mudanças de volume e manipulação de baleias. As consequências para outro protocolo que depende de um feed de preços centralizado são claras.

Hoje em dia, numerososprincipais dApps DeFi da TVL use redes descentralizadas de oráculos que levem em conta as diferenças de volume e liquidez em várias bolsas de forma assíncrona e em várias transações diferentes, tornando-as imunes à manipulação financiada por empréstimos rápidos. À medida que mais usuários são atraídos pela acessibilidade financeira e oportunidade deste ecossistema, e à medida que os protocolos DeFi absorvem mais valor dos Mercados globais, cabe aos mantenedores desses protocolos adotar soluções de oráculos descentralizadas que protejam os usuários do que são, até agora, ataques bem compreendidos e preveníveis.

Então, da próxima vez que você ouvir a frase “ataque de empréstimo relâmpago”, pense duas vezes. O empréstimo relâmpago provavelmente foi usado para atingir uma vulnerabilidade específica no sistema: um oráculo de preço sem cobertura de mercado. O oráculo deve ser a fonte definitiva da verdade de um protocolo – sobre o preço de um ativo, sobre o estado de um mercado. Como vimos, quem puder manipular essa fonte tem muito a ganhar. A verdade por trás dos ataques de empréstimo relâmpago: eles são financiados por empréstimos relâmpago, mas são ataques de oráculo de preço.