Что же такое флэш-кредит, поставивший “на уши” весь крипто-мир?

Две недавние атаки платформу децентрализованных финансов (DeFi) bZx вызвали ряд дискуссий о флэш-кредитах. Но что это такое и чем они полезны хакерам?

Для кредитования DeFi обычно требуется обеспечение, и, учитывая волатильность рынка, большинство кредиторов разрешают пользователям занимать до 75% доступного обеспечения, как, например, MakerDAO. При возврате заемной суммы кредитору выплачивается комиссия. С другой стороны, DeFi в этом году представила протокол Aave – флэш-кредит.

Простыми словами, флэш-кредит работает через смарт-контракт, который позволяет заимствовать средства без какого-либо обеспечения, но с возвратом кредита в рамках одной транзакции, то есть одного блока. Таким образом, флэш-кредит позволяет человеку занимать средства бесплатно до тех пор, пока он не погасит кредит к концу той же транзакции. Все происходит очень быстро. Такой кредит предназначен для ограничения рисков трейдера, позволяя этому трейдеру использовать заемные деньги, чтобы заработать больше денег, используя преимущество различий в ценах на рынках – стратегия, называемая «арбитраж».

Арбитраж – это наиболее распространенный вариант его использования, хотя данный кредит также можно использовать для обмена залогов, ликвидации кредитов, рефинансирования и т.д.

Поставщик продукта получает плату в ответ. Однако, если средства не будут своевременно возвращены в пул, транзакция будет отменена.

bZx также предложил подобный продукт, и флеш-кредиты теперь набирают силу в различных формах, таких как ArbitrageDAO. DAO предлагает арбитражные возможности за счет флеш-кредитов и Collateral Swap, который позволяет обменивать обеспечение другим активом в одной транзакции, используя флэш-кредиты Aave, хранилища MakerDAO и Uniswap – протокол для автоматического обмена токенами в эфириуме.

Крипто-жонглирование

Крипто-атака на систему требует выполнения нескольких шагов, так как эксплойт проходит через несколько различных систем, смарт-контракты, кредитные платформы, протоколы DeFi и т.д.

Очевидно, что это серьезная проблема. Трейдер, который достаточно опытен, чтобы понять, как работают вещи, может относительно легко использовать слабые места в любой системе (вместо того, чтобы сообщать о них) и использовать контракт незапланированным образом. И это именно то, что случилось с bZx – трейдер, который использовал некорректный смарт-контракт.

Как сообщалось, bZx был атакован меньше недели назад, тогда были потеряны 1,193 (320,000 долларов США) ETH. Компания заявила, что это была не «oracle» атака, а использование ошибки в bZx. В своем отчете компания заявила, что работает над «реализацией Chainlink oracles в качестве дополнения к Kyber (сеть ликвидности) для предоставления взвешенной информации о ценовых данных». Проще говоря, «oracle» – это путь, по которому блокчейн или смарт-контракт взаимодействуют с внешними данными.

Так, как работает эксплойт флеш-кредита? bZx объяснил это в своем отчете, но также существует несколько других анализов с детальными объяснениями. Таким образом:

1. эксплойтер забрал флеш-кредит 10,000 ETH с платформы dYdX;
2. половина этого была отправлена на платформу Compound в качестве в качестве залога для заимствования 112 WBTC;
3. еще 1300 ETH были отправлены на bZx, и открылась 5-кратная короткая позиция по отношению ETH-BTC – шорт ETH в пользу WBTC: функция маржинальной торговли использовала KyberSwap, чтобы обменять заемные 5 637,6 ETH на 51,3 WBTC; этот шаг утроит цену WBTC в Uniswap; здесь появилась ошибка, так как встроенная проверка работоспособности, которая проверяет, что позиция не перейдет по умолчанию после свопинга, не сработала
   [*]теперь, когда цена выше, эксплойтер продает 112 WBTC, заимствованный в Compound обратно в WETH в Uniswap за 6 871 ETH;
4. они возвращают заимствованные 10 000 ETH в dYdX, завершают флэш-кредит и получают 320 000 долларов США.

Новости, появившиеся во вторник, сообщали, что возник еще один эксплойт, который подтвердилbZx, но только в этот раз «это была атака на «oracle», модифицированная версия оригинального эксплойта». Хакер получил примерно 600,000 долларов США.

3/ The sUSD reserve on Kyber contained an APR and a Uniswap pool. We believe the attacker was able to manipulate both at the same time, keeping and bypass our check of both sides of the spread.

— bZx (@bzxHQ) February 18, 2020

В среду платформа заявила, что они «все еще продолжают восстанавливать способность закрывать сделки на платформе завтра».

«Я считаю, что последние атаки на bZx – это лучшая вещь, которая только могла произойти с DeFi сейчас. Достаточно маленькие, чтобы не быть катастрофическими, но достаточно большие, чтобы, мы надеемся, усилить проверку каждого аспекта», – прокомментировал Мартин Коппелманн (Martin Köppelmann), основатель платформы прогнозирования, построенной как децентрализованное приложение (dapp), Gnosis.

Кроме того, MakerDAO сделает в пятницу эксклюзивное предложение для того, чтобы как можно скорее активировать модуль безопасности системы управления (GSM) и, тем самым, «помочь смягчить флеш-кредит и другие атаки на управление».