Проблема T в швидких кредитах, а в централізованих ціноутвореннях

З початку року екосистема децентралізованих Фінанси (DeFi) швидко зросла до більш ніж Загальна вартість 12 мільярдів доларів заблокована. Завдяки експоненційному зростанню зловмисники зросли стимули маніпулювати та атакувати вразливі протоколи DeFi, часто за рахунок звичайних користувачів.

ONE із останніх інструментів, які використовуються під час багатьох атак DeFi, є флеш-позики – новий тип фінансового примітиву, який дозволяє користувачам відкривати позики без застави з єдиною умовою, що позика буде повернена в рамках тієї ж транзакції, або вона повертається. Це суттєвий відхід від традиційного кредитування DeFi, яке часто вимагає від користувача надмірної застави позики.

Аделін Чжоу є маркетинговим директором компанії Chainlink Labs, де вона керує маркетингом для Chainlink, найбільш поширеної у світі децентралізованої мережі Oracle.

Новизна термінової позики полягає в тому, що вона може тимчасово зробити будь-кого у світі дуже добре капіталізованим актором із потенціалом раптово маніпулювати ринком. Під час останніх атак ми бачили, як зловмисники використовують швидкі позики, щоб миттєво позичати, обмінювати, депонувати та знову позичати велику кількість токенів, щоб вони могли штучно змінити ціну токена на одній біржі. Ця послідовність, по суті, є ногою в дверях, що дозволяє зловмиснику потім використовувати аномальне ціноутворення цієї біржі.

Коли миттєві позики використовуються як частина більшої зловмисної схеми для маніпулювання протоколом і викрадення його коштів, фраза «атака на миттєві позики» стає HOT Крипто терміном тижня. ЗМІ та впливові особи Twitter однаково зосереджуються на роботі швидкої позики, розбираючи кожен крок зловмисник почав стрибати з жетон до жетона, від протоколу до протоколу, все в рамках ONE транзакції.

Але фраза «атака на миттєвий кредит»T охоплює повної проблеми. Флеш-позики не створюють уразливості в DeFi – вони просто виявляють уразливості, які вже існують. «Атаки флеш-кредитів» часто є просто атаками на оракули, сутності, які з’єднують програми DeFi у ланцюзі з даними поза ланцюгом, такими як справедлива ринкова ціна певного активу. Справжній системний ризик в екосистемі DeFi полягає навколо централізованих оракулів, а не миттєвих позик.

Для тих, хто осторонь спостерігає за розгортанням атаки, є щось захоплююче у швидких позиках. Ідея про те, що будь-хто може раптово контролювати величезні суми грошей і розгортати їх у нові, екзотичні та, так, іноді навіть шкідливі способи, демонструє, як ця Технології може розширити можливості людини та відкрити абсолютно нові фінансові інструменти. Замість того, щоб аналізувати кінцеву функцію та ціль флеш-позики, ми натомість дивуємось винахідливості її творця та витонченості атаки. У результаті флеш-кредити все частіше характеризують як небезпечну інновацію DeFi.

Дивіться також: Хасіб Куреші - Атака «миттєвої позики» DeFi, яка змінила все

Як каже Марк Зеллер з Aave, протоколу DeFi, який пропонує флеш-кредити, лаконічно зазначає, флеш-кредити – це лише інструмент: «Вони дозволяють тобі діяти як кит протягом угоди». Будь-яка атака, здійснена за допомогою флеш-позики, також може бути здійснена без флеш-позики гравцем із достатньою капіталізацією. Усе, що робить швидка позика, — це тимчасово робить будь-кого у світі добре капіталізованим актором, оскільки отримання швидкої позики не вимагає жодних дозволів і не вимагає попередньої застави.

Звичайно, відкритий доступ до таких коштів значно збільшує кількість людей, які можуть здійснити таку атаку. Але навіть у світі без миттєвих позик посилене впровадження Технології блокчейн лише продовжуватиме забезпечувати швидший доступ до більших обсягів ліквідності.

Зосередьтеся на тому, що не так

Ми повинні звернути увагу на те, що ці зловмисники насправді роблять зі своїми новознайденими коштами. Зрозуміла закономірність: зловмисники використовують флеш-позики, щоб використовувати протоколи DeFi, які залежать від єдиної децентралізованої біржі (DEX) як єдиного оракула ціни протоколу. Вони використовують флеш-позику для маніпулювання та спотворення ціни ONE або кількох активів на DEX, що призводить до того, що неточні дані про ціни передаються додаткам DeFi за допомогою цього оракула цін на основі DEX.

Потім зловмисник використовує цю можливість і отримує прибуток за рахунок звичайних користувачів. Зациклюючись на конкретному інструменті, який використовувався під час експлойту, наша галузь не помічає реального уроку з цих атак: протоколи DeFi, що покладаються на цінові оракули, які отримують дані лише з одного місця торгівлі, можуть бути скомпрометовані суб’єктами з великими сумами грошей.

Дивіться також: Пол Броуді - Підприємствам потрібні треті сторони для роботи Oracles

Це атаки оракулів, з векторами атак, які не тільки були передбачив, але також вже траплялося раніше. Зосередженість на термінових позиках відволікає нас від більшої проблеми, що протоколи DeFi із сотнями мільйонів, а іноді й понад 1 мільярдом доларів США TVL все ще покладаються на єдині біржі для свого оракула цінового каналу. Як ми бачили, одна біржа може бути піддана широкому спектру змін обсягу та маніпуляцій китами. Наслідки для іншого протоколу, який спирається на централізовану подачу цін, зрозумілі.

Сьогодні численні топ DeFi dApps від TVL використовувати децентралізовані мережі оракулів, які враховують різницю в обсязі та ліквідності між кількома біржами асинхронно та між кількома різними транзакціями, що робить їх несприйнятливими до маніпуляцій, що фінансуються за рахунок позик. Оскільки фінансова доступність і можливості цієї екосистеми приваблюють більше користувачів, і оскільки протоколи DeFi отримують більше цінності від глобальних Ринки, розробники цих протоколів зобов’язані прийняти децентралізовані рішення Oracle, які захищають користувачів від на сьогоднішній день добре зрозумілих атак, яким можна запобігти.

Тому наступного разу, коли ви почуєте фразу «атака на миттєвий кредит», подумайте двічі. Швидка позика, ймовірно, була використана для націлювання на конкретну вразливість у системі: ціновий оракул без покриття ринку. Передбачається, що оракул є остаточним джерелом істини для протоколу – про ціну активу, про стан ринку. Як ми бачили, той, хто зможе маніпулювати цим джерелом, отримає величезний виграш. Правда за атаками на швидкі позики: вони фінансуються за рахунок швидких позик, але це атаки оракулів цін.