Si përdoren kreditë flash për të manipuluar tregun e kriptove

Sipas një raporti të fundit, sulmet e kredisë së shpejtë janë në rritje. Cilat janë ato dhe cilat janë rreziqet?

Imagjinoni të jeni në gjendje të merrni një hua me madhësi pothuajse të pakufizuar pa vënë asnjë kolateral. Ka vetëm një kapje. Ju duhet ta paguani atë pothuajse menjëherë. Tingëllon e çuditshme? Ndoshta po. Por kjo është pikërisht ajo që është një kredi e shpejtë. Siç sugjeron emri, këto kredi bëhen pothuajse menjëherë. (Mendoni superheroin e DC Comic, The Flash, i cili mund të udhëtojë me shpejtësinë e dritës.)

Një raport i fundit nga De.Fi sugjeron se kreditë e shpejta janë në rritje dhe aktorët e këqij i përdorin ato në një numër në rritje shfrytëzimesh. Në tremujorin e parë të këtij viti, 1 milionë dollarë humbën nga ky stil shfrytëzimi. 

Por pse dikush do të dëshironte të marrë një hua pothuajse të menjëhershme? Epo, si shumë gjëra në kripto, bëhet fjalë për kthime të mira.

Shpjegohen kreditë e shpejta dhe sulmet e huasë së shpejtë

Logjika e kredive flash mbështetet tek arbitrazhi, procesi i përfitimit të diferencave të vogla të çmimeve. Ndryshe nga llojet e tjera të kredive, kreditë e shpejta nuk kërkojnë një proces të gjatë miratimi, kështu që ato mund të ekzekutohen shpejt. “Duke pasur parasysh tarifat e ulëta të përfshira në kredinë me një transaksion, ka një potencial të madh për kthime të larta”, shpjegoi Artem Bondarenko, Arkitekt Softuerësh në De.Fi, në një intervistë me BeInCrypto. “Për kreditorët e një kredie të shpejtë, nuk ka rreziqe pasi kredia kthehet menjëherë. Përndryshe, transaksioni dështon.”

Në financat tradicionale, nuk ka asgjë saktësisht si një kredi e shpejtë. Është i ngjashëm me një opsion thirrjeje, por me disa dallime të rëndësishme. Me një kredi flash, paratë e marra hua mund t'i përdorni menjëherë, ndërsa me opsionin e thirrjes, duhet të prisni. Gjithashtu, në financat tradicionale, transaksionet zakonisht ndodhin një nga një, ndërsa me kreditë e shpejta ato ndodhin në blloqe. Megjithatë, këto instrumente afatshkurtra nuk janë plotësisht pa dobësi, siç nënvizon raporti i De.Fi.

"Një sulm i shpejtë i kredisë ndodh kur dikush është në gjendje të marrë hua një shumë të madhe në një vend dhe ta përdorë atë për të manipuluar çmimet duke blerë ose shitur në sasi të mëdha, duke ndikuar kështu në çmimin e një aktivi," tha Bondarenko. "Më pas, duke përdorur atë ndryshim në çmim për të shfrytëzuar blerjen ose shitjen e kundërt në një anë tjetër, duke krijuar arbitrazh midis çmimeve në të dy vendet, pastaj duke shlyer kredinë origjinale dhe duke futur në xhep diferencën."

“Nëse protokolli i likuiditetit është projektuar siç duhet me orakujt e duhur të çmimeve, kjo nuk duhet të jetë një problem, por në rastet kur dizajni është i dobët, është një cenueshmëri që mund të shfrytëzohet dhe të çojë në një ngjarje likuidimi masiv,” shtoi Bondarenko.

Kush janë viktimat?

Kreditë e shpejta janë tërheqëse për sulmuesit, sepse ato lejojnë huamarrjen e shumave të mëdha të kriptomonedhave pa ofruar kolateral. Për të parandaluar sulme të tilla, mund të zbatohen masa më të mira sigurie si auditimet e kodit dhe dizajni i fortë i kontratës inteligjente dhe ndërgjegjësimi për vektorët e mundshëm të sulmit mund të rritet brenda ekosistemit DeFi.

Më 13 mars, Euler Finance, një protokoll i njohur kreditimi i bazuar në Ethereum, u hakerua dhe sulmuesi vodhi miliona dollarë kriptomonedha të ndryshme, si Dai, USDC, Staked Ethereum dhe Wrapped Bitcoin, duke ekzekutuar transaksione të shumta. 

Shuma totale e vjedhur ishte pothuajse 196 milion dollarë, me 8.7 milion dollarë në Dai, 18.5 milion dollarë në WBTC, 135.8 milion dollarë në Steth dhe 33.8 milion dollarë në USDC. 

Sulmuesi i zhvendosi fondet e vjedhura nga Binance Smart Chain në Ethereum duke përdorur një urë me shumë zinxhirë dhe më pas kreu sulmin e kredisë flash. Ata depozituan fondet e vjedhura në Tornado Cash, një miksues i njohur i kriptove, për të komplikuar përpjekjet e rikuperimit dhe për të fshehur identitetin e tyre.

Një muaj më parë, më 16 shkurt, Platypus Finance, një prodhues i automatizuar tregu, pësoi një sulm të veçantë kredie të shpejtë. Sulmuesi vodhi monedha stabile me vlerë 8,500,887 dollarë, përfshirë USDC, USDT, BUSD dhe DAI. 

Në këtë rast, sulmuesi përfitoi nga një dobësi në mekanizmin e kontrollit të aftësisë paguese të USP. Gjatë procesit, sulmuesi siguroi një hua të shpejtë prej 44,000,000 USDC, më pas e ndërroi atë me 44,000,000 Platypus LP-USD. Më pas ata krijuan 41,700,000 tokena USP pa kosto, të cilat u shkëmbyen me monedha të ndryshme të qëndrueshme. 

Platypus Finance ka bashkëpunuar me shërbime të palëve të treta për të ngrirë asetet e vjedhura, dhe disa tashmë janë ngrirë. Kontrata me qëllim të keq u hoq dhe u zbatuan masa shtesë sigurie për të parandaluar sulmet e ardhshme. Megjithatë, sulmuesi arriti të transferonte disa nga fondet e vjedhura.

Si të zvogëloni rreziqet?

Në një mënyrë, Kreditë Flash janë një nga barazuesit më të mëdhenj të kriptos. Ato lejojnë tregtarët me më pak kapital të angazhohen në tregti me shpërblime të larta që zakonisht do të ishin të hapura vetëm për të ashtuquajturat Balena. “Por siç e kemi parë shumë herë, huatë flash paraqesin gjithashtu një rrezik të madh për protokollet DeFi që nuk marrin parasysh gjëra të tilla,” tha për BeInCrypto Adrian Hetman, Drejtues Teknik i ekipit të triaging në Immunefi.

“Protokollet nuk duhet të mbrohen vetëm nga sulmet e mundshme të mundësuara nga kredia flash, por edhe nga sulmet e balenave, dmth, çfarë do të ndodhte nëse lojtarët e mëdhenj do të përdornin papritur fondet e tyre masive për të përdorur protokollin tonë? A do të sillet sistemi siç është menduar? Cili është fluksi ynë i biznesit "i synuar"? Hetman vazhdoi. "Modelimi i kërcënimeve do të ndihmonte në zbulimin e dobësive të mundshme të sistemit."

“Duke përdorur çmimin mesatar të ponderuar në kohë (TWAP), orakujt mund të ndihmojnë në minimizimin e manipulimit të çmimeve duke mesatarizuar çmimet gjatë një periudhe të caktuar kohore, duke e bërë më të vështirë për sulmuesit të manipulojnë çmimet në një transaksion të vetëm. Për më tepër, zbatimi i sistemeve multi-oracle mund të sigurojë tepricë dhe kontroll të kryqëzuar për të dhënat e çmimeve, duke forcuar më tej mbrojtjen kundër manipulimit, "shtoi Hetman.

Duke zbatuar ndërprerësit, sulmuesit e kredisë së shpejtë mund të parandalohen që të përfitojnë nga çmimet e manipuluara kur zbulohen luhatje të konsiderueshme të çmimeve, shpjegoi Hetman. “Pasi të identifikohet dhe adresohet shkaku i luhatjes së çmimeve, tregtimi mund të rifillojë. Kjo duhet të përfshijë tregti të mundshme të vlefshme që mund të duken vetëm si të dyshimta nga jashtë.”

“Është gjithashtu e rëndësishme që të mos lejohen veprimet kryesore të protokollit të ndodhin vetëm në një bllok. Kreditë e shpejta, shumicën e kohës, mund të merren vetëm në një transaksion për një bllok, "shtoi Hetman.