Błędy w DeFi wykorzystane przez hakerów - wyparowały miliony dolarów.
W świecie kryptowalut powstaje coraz więcej projektów oferujących różnorodne usługi finansowe z wykorzystaniem zdecentralizowanych sieci. Zaliczamy do nich między innymi platformy pożyczkowe (umożliwiające min. zaciąganie ekspresowych pożyczek - flash loans) oraz niektóre projekty stablecoinów (np. DAI). Wykorzystują one standardowe narzędzia, które zostały przeniesione na blockchain i działają w modelu otwartego źródła (ang. open source) oraz w znacznej mierze mają zaimplementowane modele P2P (ang. peer-to-peer). Jest jednak kilka znaczących problemów, z którymi muszą się zmierzyć zanim osiągną wysoki poziom adopcji i będą mogły konkurować z scentralizowanymi instrumentami finansowymi.
Czym są "flash loans"?
Jest to rodzaj niezabezpieczonej pożyczki, wykorzystywany w projektach DeFi. Do wzięcia jej nie jest potrzebna weryfikacja, ani zdolność kredytowa. Różni się ona tym od standardowych pożyczek, że trzeba ją spłacić w tej samej transakcji, w której ją zaciągnęliśmy. Odbywa się to w trzech etapach, ale bardzo szybko. Zaciągamy pożyczkę, wykorzystujemy środki w pożądany przez nas sposób, a następnie spłacamy ją, a wszystko to dzieje się za pomocą kilku kliknięć. Jeśli będziemy chcieli wykonać operację, która nie pozwoli na zwrot środków do inteligentnego kontraktu, to zostanie odrzucona przez sieć.
Jak działają hakerzy wykorzystujący błędy w flash loans?
Egzekucja tego błędu jest niezwykle tania oraz nie istniał żaden mechanizm, który uniemożliwiłby przeprowadzenie go. Są one niezwykle skomplikowane i trudne do przeprowadzenia, ale jeśli będą wykorzystane poprawnie i skoordynowany sposób to często kończą się sukcesem. Ostatnim przykładem platformy, która padła ofiarą ataku flash loan był projekt Value Defi, który jeszcze kilka dni temu chwalił się wysokim poziomem bezpieczeństwa.
Value Defi has the highest security, the best return and the greatest community ... Simply ?
Check out the give away and get a valuable Valueman NFT. ? https://t.co/NdKV7EVRgy
— Value DeFi Protocol (@value_defi) November 12, 2020
W znacznym uproszczeniu, aby przeprowadzić atak najpierw haker pożyczył za pomocą platformy Avee 80 tys. etherów. Umieścił on środki te w inteligentnym kontrakcie Multistables vault, a następnie wykorzystał on arbitrażową różnicę w kursach stablecoinów, która wynosiła 0,03% dla dai oraz 0,08% dla tethera. Cały proces trwał kilkadziesiąt sekund, a haker zarobił ponad 6 milionów dolarów. Twórcy projektu Value Liquidity prowadzą aktualnie dochodzenie, aby dokładnie wyjaśnić to zdarzenie.
The MultiStables vault was the subject of a complex attack that resulted in a net loss of $6M. https://t.co/dnFRa5yPBJ
We are currently working on a postmortem and are exploring ways to mitigate the impact on our users.
— Value DeFi Protocol (@value_defi) November 14, 2020
Bardzo podobnemu atakowi padł również niedawno protokół zwany Acropolis, gdzie udało się atakującym wyprowadzić 2 miliony dolarów.