Volgens een recent rapport nemen flitskredietaanvallen toe. Wat zijn het en wat zijn de risico's?
Stelt u zich eens voor dat u een lening van bijna onbeperkte omvang kunt afsluiten zonder enige onderpand te stellen. Er is maar één addertje onder het gras. Je moet het vrijwel direct terugbetalen. Klinkt vreemd? Waarschijnlijk wel. Maar dat is precies wat een flitslening is. Zoals de naam al doet vermoeden, vinden deze leningen vrijwel onmiddellijk plaats. (Denk aan de DC Comic-superheld The Flash, die met de snelheid van het licht kan reizen.)
Een recent rapport van De.Fi suggereert dat flitsleningen in opkomst zijn en dat kwaadwillenden er in een toenemend aantal exploits gebruik van maken. In het eerste kwartaal van dit jaar ging $ 1 miljoen verloren door deze stijl van misbruik.
Maar waarom zou iemand bijna onmiddellijk een lening willen afsluiten? Nou, zoals veel dingen in crypto, komt het neer op een goed rendement.
Flash-leningen en Flash-leningaanvallen uitgelegd
De logica van flitsleningen is gebaseerd op arbitrage, het proces waarbij wordt geprofiteerd van kleine prijsverschillen. In tegenstelling tot andere soorten leningen, hebben flitsleningen geen langdurig goedkeuringsproces nodig, waardoor ze snel kunnen worden uitgevoerd. "Gezien de lage kosten van de lening met één transactie, is er een enorm potentieel voor hoge opbrengsten", legt Artem Bondarenko, Software Architect bij De.Fi, uit in een interview met BeInCrypto. “Voor schuldeisers van een flitslening zijn er geen risico’s aangezien de lening direct wordt terugbetaald. Anders mislukt de transactie.”
In traditionele financiën gaat er niets boven een flitslening. Het is vergelijkbaar met een call-optie, maar met enkele significante verschillen. Bij een flitslening kunt u het geleende geld direct gebruiken, terwijl u bij een calloptie even moet wachten. Ook vinden transacties in traditionele financiën meestal één voor één plaats, terwijl ze bij flitsleningen in blokken gebeuren. Deze kortetermijninstrumenten zijn echter niet geheel zonder keerzijde, zoals het rapport van De.Fi schetst.
"Een flitslening-aanval vindt plaats wanneer iemand op één plek een enorm bedrag kan lenen en dit kan gebruiken om prijzen te manipuleren door in grote hoeveelheden te kopen of verkopen, waardoor de prijs van een actief wordt beïnvloed", aldus Bondarenko. "Vervolgens die prijsverandering gebruiken om het tegenovergestelde te kopen of verkopen aan een andere kant, arbitrage creëren tussen prijzen op de twee plaatsen, vervolgens de oorspronkelijke lening terugbetalen en het verschil in eigen zak steken."
"Als het liquiditeitsprotocol correct is ontworpen met de juiste prijsorakels, zou dit geen probleem moeten zijn, maar in gevallen waarin het ontwerp slecht is, is het een kwetsbaarheid die kan worden uitgebuit en kan leiden tot een massale liquidatie", voegde Bondarenko toe.
Wie zijn de slachtoffers?
Flash-leningen zijn aantrekkelijk voor aanvallers omdat ze het mogelijk maken om grote sommen cryptocurrency te lenen zonder onderpand te verstrekken. Om dergelijke aanvallen te voorkomen, kunnen betere beveiligingsmaatregelen zoals code-audits en robuust slim contractontwerp worden geïmplementeerd, en kan het bewustzijn van potentiële aanvalsvectoren binnen het DeFi-ecosysteem worden vergroot.
Op 13 maart werd Euler Finance, een bekend op Ethereum gebaseerd uitleenprotocol, gehackt en de aanvaller stal miljoenen dollars aan verschillende cryptocurrencies, zoals Dai, USDC, Staked Ethereum en Wrapped Bitcoin, door meerdere transacties uit te voeren.
Het totale gestolen bedrag was bijna $ 196 miljoen, met $ 8.7 miljoen in Dai, $ 18.5 miljoen in WBTC, $ 135.8 miljoen in StETH en $ 33.8 miljoen in USDC.
De aanvaller verplaatste het gestolen geld van Binance Smart Chain naar Ethereum met behulp van een multichain-brug en voerde vervolgens de flitsleningsaanval uit. Ze stortten het gestolen geld in Tornado Cash, een bekende cryptomixer, om herstelpogingen te bemoeilijken en hun identiteit te verbergen.
De maand ervoor, op 16 februari, kreeg Platypus Finance, een geautomatiseerde marktmaker, te maken met een afzonderlijke flitsleningaanval. De aanvaller stal $ 8,500,887 aan stablecoins, waaronder USDC, USDT, BUSD en DAI.
In dit geval maakte de aanvaller misbruik van een kwetsbaarheid in het USP-solvabiliteitscontrolemechanisme. Tijdens het proces verzekerde de aanvaller zich van een flitslening van 44,000,000 USDC en ruilde deze vervolgens voor 44,000,000 Platypus LP-USD. Vervolgens sloegen ze kosteloos 41,700,000 USP-tokens, die werden ingewisseld voor verschillende stablecoins.
Platypus Finance heeft samengewerkt met externe diensten om de gestolen activa te bevriezen, en sommige zijn al bevroren. Het kwaadaardige contract is verwijderd en aanvullende beveiligingsmaatregelen zijn geïmplementeerd om toekomstige aanvallen te voorkomen. De aanvaller slaagde er echter in een deel van het gestolen geld over te maken.
Hoe de risico's verminderen?
In zekere zin zijn Flash-leningen een van de grote gelijkmakers van crypto. Ze stellen handelaren met minder kapitaal in staat om transacties met hoge beloningen uit te voeren die normaal gesproken alleen openstaan voor zogenaamde Whales. "Maar zoals we al meerdere keren hebben gezien, vormen flitsleningen ook een groot risico voor DeFi-protocollen die geen rekening houden met dergelijke dingen", vertelde Adrian Hetman, Tech Lead van het triaging-team bij Immunefi, aan BeInCrypto.
“Protocollen zouden zichzelf niet alleen moeten beschermen tegen mogelijke aanvallen met flitsleningen, maar ook tegen Whale-aanvallen, dwz wat zou er gebeuren als grote spelers plotseling hun enorme fondsen zouden gebruiken om ons protocol te gebruiken? Zou het systeem zich gedragen zoals bedoeld? Wat is onze 'bedoelde' businessflow?” Hetman vervolgde. "Dreigingsmodellering zou helpen om potentiële zwakheden van het systeem aan het licht te brengen."
“Door gebruik te maken van Time-Weighted Average Price (TWAP) kunnen orakels prijsmanipulatie helpen minimaliseren door prijzen over een bepaalde periode te middelen, waardoor het voor aanvallers moeilijker wordt om prijzen in een enkele transactie te manipuleren. Bovendien kan het implementeren van multi-oracle-systemen redundantie en kruiscontrole voor prijsgegevens bieden, waardoor de verdediging tegen manipulatie verder wordt versterkt, "voegde Hetman toe.
Door stroomonderbrekers te implementeren, kan worden voorkomen dat aanvallers van flitsleningen profiteren van gemanipuleerde prijzen wanneer er aanzienlijke prijsschommelingen worden gedetecteerd, legt Hetman uit. “Zodra de oorzaak van de prijsschommeling is geïdentificeerd en aangepakt, kan de handel worden hervat. Dit moet mogelijk geldige transacties omvatten die alleen van buitenaf verdacht lijken.
“Het is ook belangrijk om grote protocolacties niet toe te staan over slechts één blok. Flitsleningen kunnen meestal maar in één transactie voor één blok worden opgenomen”, voegde Hetman eraan toe.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/