theme switch

Błędy w DeFi wykorzystane przez hakerów - wyparowały miliony dolarów.

W świecie kryptowalut powstaje coraz więcej projektów oferujących różnorodne usługi finansowe z wykorzystaniem zdecentralizowanych sieci. Zaliczamy do nich między innymi platformy pożyczkowe (umożliwiające  min. zaciąganie ekspresowych pożyczek - flash loans) oraz niektóre projekty stablecoinów (np. DAI). Wykorzystują one standardowe narzędzia, które zostały przeniesione na blockchain i działają w modelu otwartego źródła (ang. open source) oraz w znacznej mierze mają zaimplementowane modele P2P (ang. peer-to-peer). Jest jednak kilka znaczących problemów, z którymi muszą się zmierzyć zanim osiągną wysoki poziom adopcji i będą mogły konkurować z scentralizowanymi instrumentami finansowymi.

Czym są "flash loans"?

Jest to rodzaj niezabezpieczonej pożyczki, wykorzystywany w projektach DeFi. Do wzięcia jej nie jest potrzebna weryfikacja, ani zdolność kredytowa. Różni się ona tym od standardowych pożyczek, że trzeba ją spłacić w tej samej transakcji, w której ją zaciągnęliśmy. Odbywa się to w trzech etapach, ale bardzo szybko. Zaciągamy pożyczkę, wykorzystujemy środki w pożądany przez nas sposób, a następnie spłacamy ją, a wszystko to dzieje się za pomocą kilku kliknięć. Jeśli będziemy chcieli wykonać operację, która nie pozwoli na zwrot środków do inteligentnego kontraktu, to zostanie odrzucona przez sieć.

Jak działają hakerzy wykorzystujący błędy w flash loans?

Egzekucja tego błędu jest niezwykle tania oraz nie istniał żaden mechanizm, który uniemożliwiłby przeprowadzenie go. Są one niezwykle skomplikowane i trudne do przeprowadzenia, ale jeśli będą wykorzystane poprawnie i skoordynowany sposób to często kończą się sukcesem. Ostatnim przykładem platformy, która padła ofiarą ataku flash loan był projekt Value Defi, który jeszcze kilka dni temu chwalił się wysokim poziomem bezpieczeństwa.

 

W znacznym uproszczeniu, aby przeprowadzić atak najpierw haker pożyczył za pomocą platformy Avee 80 tys. etherów.  Umieścił on środki te w inteligentnym kontrakcie Multistables vault, a następnie wykorzystał on arbitrażową różnicę w kursach stablecoinów, która wynosiła 0,03% dla dai oraz 0,08% dla tethera. Cały proces trwał kilkadziesiąt sekund, a haker zarobił ponad 6 milionów dolarów. Twórcy projektu Value Liquidity prowadzą aktualnie dochodzenie, aby dokładnie wyjaśnić to zdarzenie.

Bardzo podobnemu atakowi padł również niedawno protokół zwany Acropolis, gdzie udało się atakującym wyprowadzić 2 miliony dolarów.

Powiązane

Metaverse - jakie przeszkody kreuje branża wirtualnej rzeczywistości?

Analiza techniczna kursu monero - czy zacznie podążać za bitcoinem?

» więcej artykułów