Проблема T в мгновенных кредитах, а в централизованных ценовых оракулах

С начала года экосистема децентрализованных Финансы (DeFi) стремительно выросла и достигла более чем Общая стоимость заблокированных активов составляет 12 миллиардов долларов. Благодаря такому экспоненциальному росту у злоумышленников появилось больше стимулов манипулировать уязвимыми протоколами DeFi и атаковать их, часто за счет обычных пользователей.

ONE из последних инструментов, используемых во многих атаках DeFi, являются флэш-кредиты — новый тип финансового примитива, который позволяет пользователям открывать необеспеченные кредиты с единственным условием, что кредит будет возвращен в той же транзакции или он будет возвращен. Это существенное отклонение от традиционного кредитования DeFi, которое часто требует от пользователя избыточного обеспечения кредита авансом.

Аделин Чжоу — директор по маркетингу компанииЛаборатории Chainlink, где она руководит маркетингом Chainlink, самой широко распространенной в мире децентрализованной сети оракулов.

Новизна мгновенного кредита заключается в том, что он может временно сделать любого человека в мире очень хорошо капитализированным игроком, с потенциалом внезапно манипулировать рынком. В недавней серии атак мы видели, как злоумышленники использовали мгновенные кредиты, чтобы мгновенно занимать, обменивать, депонировать и снова занимать большое количество токенов, чтобы они могли искусственно изменять цену токена на одной бирже. Эта последовательность по сути является ногой в двери, позволяя злоумышленнику затем эксплуатировать аномальное ценообразование этой биржи.

Когда быстрые кредиты используются как часть более крупной вредоносной схемы для манипулирования протоколом и кражи его средств, фраза «атака быстрых кредитов» становится HOT Криптo недели. Средства массовой информации и влиятельные лица Twitter одинаково сосредоточены на работе быстрых кредитов, анализируя каждый шагзлонамеренный актер решил прыгнуть стокен к токену, протокол к протоколу, все в рамках ONE транзакции.

Но фраза «атака мгновенных кредитов»T охватывает всю рассматриваемую проблему. Мгновенные кредиты не создают уязвимостей в DeFi — они просто раскрывают уязвимости, которые уже существуют. «Атаки мгновенных кредитов» часто представляют собой просто атаки на оракулы, сущности, которые связывают приложения DeFi в цепочке с данными вне цепочки, такими как справедливая рыночная цена определенного актива. Реальный системный риск в экосистеме DeFi связан с централизованными оракулами, а не мгновенными кредитами.

Для тех, кто стоит в стороне и наблюдает за тем, как разворачивается атака, в мгновенных кредитах есть что-то захватывающее. Идея о том, что кто-то может внезапно контролировать огромные суммы денег и использовать их новыми, экзотическими и, да, иногда даже вредоносными способами, демонстрирует, как эта Технологии может расширить возможности отдельного человека и открыть совершенно новые финансовые инструменты. Вместо того чтобы анализировать конечную функцию и цель мгновенного кредита, мы вместо этого восхищаемся изобретательностью его создателя и изощренностью атаки. В результате мгновенные кредиты все чаще характеризуются как опасная инновация DeFi.

См. также: Хасиб Куреши -Атака DeFi «мгновенных кредитов», изменившая все

Как сказал Марк Целлер из Aave, протокола DeFi, предлагающего мгновенные кредиты, лаконично указывает, мгновенные кредиты — это всего лишь инструмент: «Они позволяют вам вести себя как кит на протяжении всей транзакции». Любая атака, выполненная с помощью мгновенного кредита, может быть выполнена и без мгновенного кредита хорошо капитализированным субъектом. Все, что делает мгновенный кредит, — это временно делает любого человека в мире хорошо капитализированным субъектом, поскольку получение мгновенного кредита не требует разрешения и не имеет первоначальных требований к обеспечению.

Конечно, открытый доступ к таким фондам значительно увеличивает количество людей, которые могут осуществить такую ​​атаку. Но даже в мире без быстрых кредитов, более широкое внедрение Технологии блокчейна будет только продолжать обеспечивать более быстрый доступ к большим объемам ликвидности.

Сосредоточьтесь на том, что не так

Нам нужно обратить внимание на то, что эти злоумышленники на самом деле делают со своими новообретенными средствами. Четко прослеживается закономерность: злоумышленники используют мгновенные кредиты для эксплуатации протоколов DeFi, которые зависят от единственной децентрализованной биржи (DEX) как единственного ценового оракула протокола. Они используют мгновенные кредиты для манипулирования и искажения цены ONE или нескольких активов на DEX, что приводит к подаче неточных данных о ценах в приложения DeFi, использующие этот ценовой оракул на основе DEX.

Затем злоумышленник использует эту возможность и получает прибыль за счет обычных пользователей. Зацикливаясь на конкретном инструменте, используемом во время эксплуатации, наша отрасль упускает из виду реальный урок этих атак: протоколы DeFi, полагающиеся на ценовые оракулы, которые извлекают данные только с одной торговой площадки, могут быть скомпрометированы злоумышленниками с большими суммами денег.

См. также: Пол Броди -Предприятиям нужны третьи стороны для работы Oracle

Это атаки оракула, с векторами атак, которые не только былипредсказанный, но также уже естьслучилось раньше. Сосредоточение на быстрых кредитах отвлекает нас от более серьезной проблемы, что протоколы DeFi с сотнями миллионов, а иногда и более 1 миллиарда долларов TVL все еще полагаются на отдельные биржи для своего оракула ценового потока. Как мы видели, отдельная биржа может подвергаться широкому спектру смещений объема и манипуляций китов. Последствия для другого протокола, который полагается на централизованный ценовой поток, очевидны.

Сегодня многочисленныетоп DeFi dApps по TVL использовать децентрализованные сети оракулов, которые учитывают разницу в объеме и ликвидности на нескольких биржах асинхронно и в нескольких различных транзакциях, делая их невосприимчивыми к манипуляциям, финансируемым за счет мгновенных займов. Поскольку все больше пользователей привлекают финансовая доступность и возможности этой экосистемы, а протоколы DeFi поглощают все больше ценности с глобальных Рынки, на тех, кто поддерживает эти протоколы, возлагается обязанность принять децентрализованные решения оракулов, которые защищают пользователей от того, что на данный момент является хорошо понятными, предотвратимыми атаками.

Так что в следующий раз, когда вы услышите фразу «атака с использованием мгновенных кредитов», подумайте дважды. Вероятно, мгновенный кредит использовался для атаки на определенную уязвимость в системе: ценовой оракул без покрытия рынка. Оракул должен быть окончательным источником истины протокола — о цене актива, о состоянии рынка. Как мы видели, тот, кто может манипулировать этим источником, может получить огромную выгоду. Правда об атаках с использованием мгновенных кредитов: они финансируются мгновенными кредитами, но это атаки с использованием ценового оракула.