Атака DeFi «мгновенных кредитов», изменившая все

Хасиб Куреши — управляющий партнер Dragonfly Capital, трансграничного Криптo венчурного фонда. Более длинная версия статьи опубликована на Середина.

В последнее время в центре внимания были флэш-кредиты. Недавно два хакера использовали флэш-кредиты для атаки на протокол маржинальной торговли bZx, впервые вАтака на 350 000 долларов и позднее аналогичная атака на 600 000 долларов.

Эти атаки были, одним словом, великолепны. В каждой атаке нищий злоумышленник мгновенно занимал сотни тысяч долларовETH, пропустили его через цепочку уязвимых ончейн-протоколов, извлекли сотни тысяч долларов украденных активов, а затем выплатили свои огромные ETH кредиты. Все это произошло в одно мгновение — то есть в одной транзакции Ethereum .

Мы T знаем, кем были эти нападавшие и откуда они взялись. Оба начали практически с нуля и ушли с сотнями тысяч долларов. Никто из них не оставил никаких следов, чтобы идентифицировать себя.

В связи с этими атаками я много думал о быстрых кредитах и их последствиях для безопасности DeFi. Я думаю, что это стоит обдумать публично.

Короче говоря: я считаю, что быстрые кредиты представляют собой большую угрозу безопасности. Но быстрые кредиты никуда не денутся, и нам нужно тщательно подумать о том, какое влияние они окажут на безопасность DeFi в будущем.

Что такое экспресс-кредит?

Концепция мгновенного кредита была впервые сформулированаМраморный протоколв 2018 году. Marble позиционировал себя как «банк смарт-контрактов», а его продукт представлял собой простую, но блестящую инновацию DeFi: кредиты с нулевым риском через смарт-контракт.

Как кредит может иметь нулевой риск?

Традиционные кредиторы берут на себя два вида риска. Первый — риск дефолта: если заемщик сбежит с деньгами, это, очевидно, отстой. Но второй риск для кредитора — риск неликвидности: если кредитор ссужает слишком много своих активов в неподходящее время или T получает своевременных выплат, кредитор может неожиданно оказаться неликвидным и не сможет выполнить свои собственные обязательства.

Мгновенные кредиты смягчают оба риска. Мгновенный кредит в основном работает следующим образом: я одолжу вам столько денег, сколько вы хотите для этой единственной транзакции. Но к концу этой транзакции вы должны заплатить мне по крайней мере столько, сколько я вам одолжил. Если вы не сможете этого сделать, я автоматически откачу вашу транзакцию! (Да, смарт-контракты могутсделай это.)

Проще говоря, ваш мгновенный кредит — это атом. Если вы не вернете кредит, все возвращается, как будто кредита никогда не было.

Что-то подобное может существовать только на блокчейнах. Вы не сможете выдавать мгновенные кредиты, скажем, на BitMEX. Это связано с тем, что платформы смарт-контрактов обрабатывают транзакции по ONE за раз, поэтому все, что происходит в транзакции, выполняется последовательно как пакетная операция. Вы можете думать об этом как о «заморозке» вашей транзакции во время ее выполнения. С другой стороны, централизованная биржа может иметь условия гонки, такие, что часть вашего заказа не будет выполнена. На блокчейне вам гарантировано, что весь ваш код будет выполняться ONE строка за другой.

Давайте на секунду задумаемся об экономике. Традиционные кредиторы получают компенсацию за две вещи: риск, который они берут на себя (риск дефолта и риск неликвидности), и за альтернативную стоимость капитала, который они ссужают (например, если я могу получить 2 процента в другом месте по этому капиталу, заемщик должен заплатить мне больше, чем безрисковые 2 процента).

Flash loans отличаются. Flash loans не имеют риска и альтернативных издержек! Это происходит потому, что заемщик «замораживает время» на срок действия своего flash credit, поэтому в чьих-либо глазах капитал системы никогда не подвергался риску и никогда не был обременен, поэтому он не мог бы заработать проценты в другом месте (т. е. у него не было альтернативных издержек).

Это означает, в некотором смысле, что быть кредитором с быстрым кредитом не стоит ничего. Это глубоко противоречит здравому смыслу. Так сколько же должен стоить кредит с быстрым кредитом в равновесии (т. е. когда спрос и предложение на рынке уравновешиваются)?

В принципе, мгновенные кредиты должны быть бесплатными. Или, точнее, должна быть достаточно небольшая плата, чтобы покрыть стоимость включения трех дополнительных строк кода, чтобы сделать актив пригодным для мгновенного кредитования.

Срочные кредиты не могут взимать проценты в традиционном смысле, потому что кредит активен в течение нулевого времени (любая годовая процентная ставка * 0 = 0). И, конечно, если бы кредиторы срочных кредитов взимали более высокие ставки, они бы быстро были вытеснены другими пулами срочных кредитов, которые взимали более низкие ставки.

Быстрое кредитование превращает капитал в настоящий товар. Эта гонка на дно неизбежно приводит к нулевым сборам или крошечным номинальным сборам. DYDX [торговая платформа] в настоящее время взимает нулевую плату за быстрое кредитование. Aave, с другой стороны, взимает 0,09 процента от основного долга за быстрое кредитование. Я подозреваю, что это не является устойчивым, и, действительно, их сообщество призвали сократить сборы до нуля(Обратите внимание, что ни одна из атак, которые мы наблюдали, не использовала Aave в качестве пула мгновенного кредитования.)

Атаки Flash имеют серьезные последствия для безопасности

Я все больше убеждаюсь, что то, что на самом деле разблокируют флэш-кредиты, — это флэш-атаки — капиталоемкие атаки, финансируемые флэш-кредитами. Мы видели первые проблески этого в недавних взломах bZx, и я подозреваю, что это только кончик копья.

Есть две основные причины, по которым быстрые кредиты особенно привлекательны для злоумышленников.

1. Многие атаки требуют большого начального капитала (например, атаки с манипуляцией оракулами). Если вы получаете положительный возврат инвестиций на $10 млн ETH, это, вероятно, не арбитраж — вы, скорее всего, занимаетесь какой-то ерундой.

2. Мгновенные займы минимизируют запятнанность для злоумышленников. Если у меня есть идея, как манипулировать оракулом с $10 миллионами эфира, даже если у меня есть столько эфира, я, возможно, не захочу рисковать своим собственным капиталом. Мой ETH будет запятнан, биржи могут отклонить мои депозиты, и его будет трудно отмыть. Это рискованно! Но если я возьму мгновенный заем на $10 миллионов, то кого это волнует? Это все плюсы. Это не то, что пул обеспечения DYDX будет считаться запятнанным, потому что именно оттуда взялся мой заем — запятнанность DYDX просто как бы испаряется.

Вам может не понравиться, что черный список бирж является частью модели безопасности блокчейна сегодня. Он довольно скользкий и централизованный. Но это важная реальность, которая определяет расчеты, стоящие за этими атаками.

В Bitcoin белая книга, Сатоши заявил, чтоBitcoin (BTC) защищен от атак, потому что:

«[Злоумышленник] должен был посчитать более выгодным играть по правилам […], чем подрывать систему и обоснованность собственного богатства».

С мгновенными кредитами злоумышленникам больше не нужно иметь шкуру в игре. Мгновенные кредиты существенно меняют риски для злоумышленника.

И помните, что мгновенные кредиты могут накапливаться! В зависимости от лимита GAS вы можете буквально объединить все пулы мгновенных кредитов в одну транзакцию (более 50 миллионов долларов) и обрушить весь этот капитал на один уязвимый контракт. Это таран на 50 миллионов долларов, который теперь каждый может врезать в любую пиньяту на цепочке, пока деньги выходят. Это страшно.

Что все это означает в долгосрочной перспективе?

Я считаю, что атаки bZx изменили ситуацию.

Это не последняя атака Flash. Вторая атака bZx была первым подражателем, и я подозреваю, что она вызовет волну атак в ближайшие месяцы. Теперь тысячи умных подростков из самых отдаленных уголков мира тыкаются во все эти лего DeFi, изучая их под микроскопом, пытаясь выяснить, есть ли способ провести атаку Flash. Если им удастся воспользоваться уязвимостью, они тоже могут заработать несколько сотен тысяч долларов — сумма, которая изменит жизнь в большинстве уголков мира.

Для протоколов, флэш-атаки означают, что модель угроз теперь изменена. Попасть под флэш-атаку после взломов bZx будет так же стыдно, как попасть подповторный вход после взлома DAO: вы станете посмешищем Криптo. Вы должны были это предвидеть.

Наконец, эти эпизоды заставили меня задуматься о старой концепции в Криптo: ценность, извлекаемая майнером (MEV). MEV — это общая стоимость, которую майнеры могут извлечь из системы блокчейна. Сюда входят вознаграждения за блок и сборы, но сюда также входят более вредные формы извлечения стоимости, такие как переупорядочивание транзакций или вставка мошеннических транзакций в блок.

По сути, вы должны думать обо всех этих флэш-атаках как об отдельных транзакциях в мемпуле, которые приносят кучу денег. Например, вторая атака bZx привела к прибыли в размере $645 000 в ETH за одну транзакцию. Если вы майнер и собираетесь начать майнить новый блок, представьте, что вы смотрите на транзакции предыдущего блока и говорите себе... «Подождите, что? Зачем я собираюсь пытаться майнить новый блок за ~$500, когда в этом последнем блоке содержится $645 000 прибыли??»

Мы все еще далеки от создания устойчивой архитектуры для построения финансовой системы будущего.

Вместо того, чтобы удлинять цепочку, в ваших интересах вернуться назад и попытаться переписать историю так, чтобы вы были флэш-атакующим. Подумайте об этом: одна эта транзакция стоила более четырех часов честно добытых блоков Ethereum !

Это похоже на наличие специального суперблока, который содержит в 1000 раз больше награды за обычный блок — как и ожидалось, рациональным результатом такого суперблока должна стать куча майнеров, конкурирующих за то, чтобы оставить без присмотра конец цепочки и украсть этот блок для себя.

В равновесии все атаки Flash должны в конечном итоге извлекаться майнерами. (Обратите внимание, что они также должны в конечном итоге украсть все арбитражи и ликвидации на цепочке.) Это, по иронии судьбы, послужит сдерживающим фактором против атак Flash, поскольку не позволит злоумышленникам монетизировать свои открытия этих уязвимостей. Возможно, в конечном итоге майнеры начнут запрашивать код атаки через частные каналы и платить потенциальному злоумышленнику комиссию за нахождение. Технически это можно сделать без доверия, используя доказательства с нулевым разглашением. (Странно думать об этом, не так ли?)

Но это все пока из области фантастики. Шахтеры сегодня явно этим T занимаются.

Почему это T ?

Множество причин. Это сложно, это требует много работы, виртуальная машина Ethereum отстой для моделирования, это рискованно, будут ошибки, которые приведут к потере средств или бесхозным блокам, это вызовет шумиху, а мошеннический майнинговый пул может получить PR-кризис и быть названным «врагом Ethereum». На данный момент майнеры, вероятно, больше потеряют в бизнесе и бесхозных блоках, чем выиграют, пытаясь это сделать.

Это правда сегодня. Это T будет правдой долго.

Это дает еще одну мотивацию для Ethereum поторопиться и перейти на Ethereum 2.0. DeFi на Ethereum, хотя и удивительный и завораживающий, абсолютно и бесповоротно сломан. DeFi нестабилен в цепочке PoW, потому что все транзакции с высокой стоимостью подлежат повторному присвоению майнерами (также известному как время атаки бандитов).

Для масштабной работы этих систем нужна окончательность — невозможность для майнеров перезаписывать подтвержденные блоки. Это защитит предыдущие блоки от повторного присвоения. Плюс, если протоколы DeFi существуют на отдельных шардах Ethereum 2.0, они T будут уязвимы для флэш-атак.

По моим оценкам, флэш-атаки дают нам небольшое, но полезное напоминание о том, что это только начало. Мы все еще далеки от устойчивой архитектуры для построения финансовой системы будущего.

На данный момент, мгновенные кредиты станут новой нормой. Возможно, в долгосрочной перспективе все активы на Ethereum будут доступны для мгновенных кредитов. Все залоговое обеспечение, удерживаемое биржами, Uniswap, возможно, все ERC-20.

Кто знает — это всего лишь несколько строк кода.