Атаки с использованием флэш-кредита — это когда злоумышленники используют смарт-контракт.
Что такое Flash Loan Attack?
Атаки с мгновенными кредитами — это эксплойты децентрализованного финансирования (DeFi), когда смарт-контракт, предназначенный для поддержки предоставления мгновенных кредитов, подвергается атаке с целью кражи активов, хранящихся в каком-либо конкретном пуле. В таких атаках злоумышленник открывает кредит, использует этот заемный капитал для покупки других активов с помощью арбитража и быстро возвращает свой кредит, забирая активы, оставшиеся у них на протяжении всего процесса, в качестве своей прибыли.
Важно понимать, что такое воздействие может происходить только в рамках протоколов DeFi, поскольку они не имеют разрешений и полностью управляются смарт-контрактами. В то время как дезинтермедиация дает множество преимуществ, таких как экономия средств и устойчивость к цензуре, отсутствие третьей стороны, контролирующей предоставление необеспеченных кредитов, предоставляемых по контрактам срочного кредита, делает платформы DeFi уязвимыми для таких атак.
Этот тип вредоносной деятельности на самом деле сложен и труден для осуществления, тем не менее во многих случаях киберпреступникам это удается.
Большинство атак с использованием мгновенных кредитов связаны с использованием заемного капитала для арбитража активов из других протоколов DeFi. Например, в ходе одной из атак на протокол bZx хакер взял кредит по контракту и тут же конвертировал его в стейблкоины. Но поскольку смарт-контракты работают только на основе переданных им данных, они могут быть уязвимы для некоторых эксплойтов. Злоумышленник воспользовался этим, манипулируя ценой стабильной монеты sUSD, разместив на ней крупный ордер на покупку, что помогло поднять цену стабильной монеты в два раза по сравнению с предполагаемой стоимостью. Оттуда он взял более крупную ссуду, используя доллары США, которые он обменял в качестве залога. Затем он погасил все эти кредиты, а оставшиеся активы забрал с собой в качестве прибыли.
Ранее на той же платформе произошла еще одна известная атака с использованием флэш-кредитов. Злоумышленник взял флэш-кредит на dYdx, который является кредитным DApp, и отправил капитал из этого флэш-кредита как в Compound, так и в Fulcrum — на Fulcrum злоумышленник закоротил ETH против Wrapped Bitcoin (WBTC), а также вынул Сложный кредит WBTC. Не вдаваясь в подробности, скажем, что, когда цена WTBC резко возросла из-за того, что Fulcrum приобрела WBTC, злоумышленник, взявший на себя мгновенный кредит, перевел свои WBTC на Uniswap, погасил свои собственные и ушел с оставшимися ETH.
В мае 2021 года популярный агрегатор доходного фермерства PancakeBunny, основанный на Binance Smart Chain, также подвергся атаке мгновенных кредитов. Злоумышленник, занимающийся флэш-кредитом, занял большую сумму BNB на PancakeBunny, тем самым манипулируя его ценой как в отношении стабильной монеты Binance USD, так и в отношении токенов Bunny — когда хакер флэш-кредита сбросил свой Bunny на рынок, цена резко упала.