จากรายงานเมื่อเร็วๆ นี้ การโจมตีด้วยเงินกู้ด่วนกำลังเพิ่มสูงขึ้น พวกเขาคืออะไรและอะไรคือความเสี่ยง?
ลองนึกภาพว่าสามารถกู้เงินได้ไม่จำกัดจำนวนโดยไม่ต้องมีหลักทรัพย์ค้ำประกัน มีเพียงหนึ่งจับ คุณต้องจ่ายคืนแทบจะในทันที เสียงแปลก? มันอาจจะไม่ แต่นั่นคือสิ่งที่สินเชื่อแฟลชคืออะไร ตามชื่อที่แนะนำ เงินกู้เหล่านี้เกิดขึ้นเกือบจะในทันที (นึกถึงซูเปอร์ฮีโร่ของ DC Comic เรื่อง The Flash ที่สามารถเดินทางด้วยความเร็วแสงได้)
รายงานล่าสุดโดย De.Fi ชี้ให้เห็นว่าสินเชื่อแฟลชกำลังเพิ่มสูงขึ้นและผู้ไม่หวังดีใช้ประโยชน์จากพวกเขาในการแสวงหาผลประโยชน์ที่เพิ่มมากขึ้น ในไตรมาสที่ 1 ของปีนี้ เงิน 200 ล้านดอลลาร์หายไปจากการหาประโยชน์ในลักษณะนี้
แต่ทำไมบางคนถึงต้องการกู้เงินในทันที? เช่นเดียวกับหลาย ๆ อย่างใน crypto มันขึ้นอยู่กับผลตอบแทนที่ดี
อธิบายเรื่อง Flash Loans และการโจมตีของ Flash Loan
ตรรกะของสินเชื่อแฟลชขึ้นอยู่กับการเก็งกำไรซึ่งเป็นกระบวนการใช้ประโยชน์จากส่วนต่างราคาเล็กน้อย ไม่เหมือนสินเชื่อประเภทอื่น ๆ สินเชื่อแฟลชไม่จำเป็นต้องมีขั้นตอนการอนุมัติที่ยาวนาน จึงสามารถดำเนินการได้อย่างรวดเร็ว Artem Bondarenko สถาปนิกซอฟต์แวร์ของ De.Fi อธิบายในการให้สัมภาษณ์กับ BeInCrypto ว่า “ด้วยค่าธรรมเนียมที่ต่ำซึ่งเกี่ยวข้องกับเงินกู้แบบธุรกรรมเดียว จึงมีศักยภาพสูงที่จะได้ผลตอบแทนสูง” “สำหรับเจ้าหนี้ของสินเชื่อแฟลช ไม่มีความเสี่ยงใด ๆ เนื่องจากเงินกู้จะได้รับคืนทันที มิฉะนั้นการทำธุรกรรมจะล้มเหลว”
ในการเงินแบบดั้งเดิม ไม่มีอะไรที่เหมือนกับสินเชื่อแฟลช คล้ายกับตัวเลือกการโทร แต่มีความแตกต่างที่สำคัญบางประการ ด้วยเงินกู้ด่วน คุณสามารถใช้เงินที่ยืมมาได้ทันที ในขณะที่ตัวเลือกการโทร คุณต้องรอ นอกจากนี้ ในการเงินแบบดั้งเดิม ธุรกรรมมักจะเกิดขึ้นทีละรายการ ในขณะที่สินเชื่อแฟลชจะเกิดขึ้นเป็นบล็อกๆ อย่างไรก็ตาม ตราสารระยะสั้นเหล่านี้ไม่ได้ปราศจากข้อเสียโดยสิ้นเชิง ดังที่รายงานของ De.Fi สรุปไว้
“การโจมตีด้วยเงินกู้ด่วนเกิดขึ้นเมื่อมีคนสามารถยืมเงินจำนวนมหาศาลในที่เดียวและใช้เพื่อควบคุมราคาโดยการซื้อหรือขายในปริมาณมาก ซึ่งส่งผลต่อราคาของสินทรัพย์” นายบอนดาเรนโกกล่าว “จากนั้นใช้การเปลี่ยนแปลงของราคาเพื่อหาประโยชน์จากการซื้อหรือขายฝั่งตรงข้าม สร้างการเก็งกำไรระหว่างราคาในสองแห่ง จากนั้นชำระคืนเงินกู้เดิมและเก็บส่วนต่างลงกระเป๋า”
“หากโปรโตคอลสภาพคล่องได้รับการออกแบบอย่างเหมาะสมด้วยออราเคิลการกำหนดราคาที่เหมาะสม สิ่งนี้ไม่ควรเป็นปัญหา แต่ในกรณีที่การออกแบบไม่ดี ก็เป็นช่องโหว่ที่สามารถถูกโจมตีและนำไปสู่เหตุการณ์การชำระบัญชีจำนวนมาก” Bondarenko กล่าวเสริม
ใครคือเหยื่อ?
สินเชื่อแฟลชนั้นน่าสนใจสำหรับผู้โจมตีเพราะพวกเขาอนุญาตให้ยืมเงินดิจิทัลจำนวนมากโดยไม่ต้องมีหลักทรัพย์ค้ำประกัน เพื่อป้องกันการโจมตีดังกล่าว สามารถใช้มาตรการรักษาความปลอดภัยที่ดีขึ้น เช่น การตรวจสอบรหัสและการออกแบบสัญญาอัจฉริยะที่มีประสิทธิภาพ และการรับรู้ถึงเวกเตอร์การโจมตีที่อาจเกิดขึ้นได้ภายในระบบนิเวศของ DeFi
เมื่อวันที่ 13 มีนาคม Euler Finance ซึ่งเป็นโปรโตคอลการให้กู้ยืมที่ใช้ Ethereum ที่รู้จักกันดีถูกแฮ็ก และผู้โจมตีได้ขโมยเงินดิจิทัลมูลค่าหลายล้านดอลลาร์ เช่น Dai, USDC, Staked Ethereum และ Wrapped Bitcoin โดยทำธุรกรรมหลายรายการ
จำนวนเงินทั้งหมดที่ถูกขโมยเกือบ 196 ล้านดอลลาร์ โดยเป็น 8.7 ล้านดอลลาร์ใน Dai, 18.5 ล้านดอลลาร์ใน WBTC, 135.8 ล้านดอลลาร์ใน StETH และ 33.8 ล้านดอลลาร์ใน USDC
ผู้โจมตีย้ายเงินที่ถูกขโมยจาก Binance Smart Chain ไปยัง Ethereum โดยใช้สะพานหลายสาย จากนั้นทำการโจมตีด้วยเงินกู้แบบแฟลช พวกเขาฝากเงินที่ถูกขโมยไปที่ Tornado Cash ซึ่งเป็นเครื่องผสมคริปโตที่รู้จักกันดี เพื่อทำให้ความพยายามในการกู้คืนซับซ้อนขึ้นและปกปิดตัวตนของพวกเขา
หนึ่งเดือนก่อนในวันที่ 16 กุมภาพันธ์ Platypus Finance ซึ่งเป็นผู้ดูแลสภาพคล่องอัตโนมัติได้รับความเดือดร้อนจากการโจมตีสินเชื่อแฟลชแยกต่างหาก ผู้โจมตีขโมยเหรียญ Stablecoin มูลค่า 8,500,887 ดอลลาร์ ซึ่งรวมถึง USDC, USDT, BUSD และ DAI
ในกรณีนี้ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในกลไกการตรวจสอบการละลายของ USP ในกระบวนการนี้ ผู้โจมตีได้ค้ำประกันเงินกู้แฟลชจำนวน 44,000,000 USDC จากนั้นเปลี่ยนเป็น Platypus LP-USD จำนวน 44,000,000 Platypus LP-USD จากนั้นพวกเขาสร้างโทเค็น USP จำนวน 41,700,000 เหรียญโดยไม่มีค่าใช้จ่าย ซึ่งแลกเปลี่ยนเป็นเหรียญ Stablecoin ต่างๆ
Platypus Finance ร่วมมือกับบริการของบุคคลที่สามเพื่ออายัดทรัพย์สินที่ถูกขโมย และบางส่วนถูกอายัดแล้ว สัญญาที่เป็นอันตรายถูกลบออกและมีการใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีในอนาคต อย่างไรก็ตาม ผู้โจมตีสามารถโอนเงินบางส่วนที่ถูกขโมยไปได้
จะลดความเสี่ยงได้อย่างไร?
ในทางหนึ่ง Flash Loans เป็นหนึ่งในตัวปรับแต่งเสียงที่ยอดเยี่ยมของ crypto พวกเขาอนุญาตให้ผู้ค้าที่มีเงินทุนน้อยมีส่วนร่วมในการซื้อขายที่ให้ผลตอบแทนสูงซึ่งโดยปกติแล้วจะเปิดให้กับสิ่งที่เรียกว่า Whales เท่านั้น “แต่อย่างที่เราได้เห็นมาหลายครั้งแล้ว สินเชื่อแฟลชยังมีความเสี่ยงสูงสำหรับโปรโตคอล DeFi ที่ไม่ได้คำนึงถึงสิ่งเหล่านี้” Adrian Hetman หัวหน้าฝ่ายเทคโนโลยีของ Immunefi กล่าวกับ BeInCrypto
“โปรโตคอลไม่ควรป้องกันตัวเองจากการโจมตีที่เปิดใช้งานการยืมแฟลชที่เป็นไปได้เท่านั้น แต่ยังป้องกันจากการโจมตีของ Whale กล่าวคือจะเกิดอะไรขึ้นหากผู้เล่นรายใหญ่ใช้เงินทุนจำนวนมหาศาลเพื่อใช้โปรโตคอลของเรา ระบบจะทำงานตามที่ตั้งใจไว้หรือไม่? ขั้นตอนทางธุรกิจที่ 'ตั้งใจ' ของเราคืออะไร” เฮทแมนพูดต่อ “การสร้างแบบจำลองภัยคุกคามจะช่วยเปิดเผยจุดอ่อนที่อาจเกิดขึ้นของระบบ”
“การใช้ Time-Weighted Average Price (TWAP) ออราเคิลสามารถช่วยลดการบิดเบือนราคาโดยการเฉลี่ยราคาในช่วงเวลาที่กำหนด ทำให้ผู้โจมตีควบคุมราคาในธุรกรรมเดียวได้ยากขึ้น นอกจากนี้ การใช้ระบบหลายออราเคิลยังช่วยให้เกิดความซ้ำซ้อนและการตรวจสอบข้ามข้อมูลราคา ซึ่งช่วยเสริมความแข็งแกร่งให้กับการป้องกันการยักย้ายถ่ายเท” เฮทแมนกล่าวเสริม
ด้วยการใช้เบรกเกอร์วงจร ผู้โจมตีสินเชื่อแฟลชสามารถป้องกันจากการแสวงหาผลประโยชน์จากราคาที่ถูกบิดเบือนเมื่อตรวจพบการแกว่งของราคาอย่างมีนัยสำคัญ Hetman อธิบาย “เมื่อมีการระบุและแก้ไขสาเหตุของการแกว่งของราคาแล้ว การซื้อขายก็จะสามารถดำเนินการต่อได้ สิ่งนี้จำเป็นต้องรวมถึงการซื้อขายที่ถูกต้องซึ่งอาจดูน่าสงสัยจากภายนอกเท่านั้น”
“สิ่งสำคัญอีกอย่างคือต้องไม่อนุญาตให้การดำเนินการของโปรโตคอลหลักเกิดขึ้นในบล็อกเดียว สินเชื่อแฟลชส่วนใหญ่สามารถทำได้ในการทำธุรกรรมหนึ่งครั้งต่อบล็อกเดียว” เฮทแมนกล่าวเสริม
ข้อจำกัดความรับผิดชอบ
ข้อมูลทั้งหมดที่มีอยู่ในเว็บไซต์ของเราเผยแพร่โดยสุจริตและเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การดำเนินการใด ๆ ที่ผู้อ่านดำเนินการกับข้อมูลที่พบในเว็บไซต์ของเราถือเป็นความเสี่ยงของตนเอง
ที่มา: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/