Как флэш-кредиты стали проклятием криптовалютного мира

Флэш-кредиты стали основным вектором атаки для злоумышленников, стремящихся использовать протоколы DeFi.

Флэш-кредит — это крипто-кредит, который берется и погашается в рамках одной транзакции. При нормальных обстоятельствах, практика может проводить быстрые свопы обеспечения. Кредит также можно использовать для проведения арбитражных сделок и экономии на транзакционных комиссиях. Платформа кредитования DeFi Aave впервые применила и обнародовала эту концепцию в 2020 году.

Однако, злоумышленники все чаще используют этот метод для атаки на лазейки в некоторых протоколах DeFi.

В традиционных финансах получение кредита требует большого количества документов и подтверждения личности и дохода. Однако, любой может сделать это в DeFi. Эти кредиты часто не обеспечены ничем, а это означает, что заемщик не должен рисковать собственными активами.

Флэш-кредиты используют смарт-контракты. Они предотвращают перемещение средств, если не соблюдены определенные критерии. Кроме того, если заемщик не погашает кредит до завершения транзакции, смарт-контракт отменяет его.

QuickSwap — последняя жертва

Флэш-кредиты за последние пару лет приобрели плохую репутацию, поскольку они использовались для атак на ряд протоколов DeFi.

Последней жертвой этого вектора атаки стала децентрализованная биржа на основе полигонов (DEX) QuickSwap. Платформа потеряла 220 000 долларов в результате эксплойта 24 октября. DEX обвинила уязвимость в оракуле Curve, который использовал Market XYZ.

Сообщается, что средства пользователей QuickSwap не были скомпрометированы.

Кроме того, 2021 год был богат на атаки по кредитам. Эксплуататоры украли сотни миллионов долларов из нескольких протоколов. К ним относятся Cream Finance, Impossible Finance, Bogged Finance, PancakeBunny, bEarn, Spartan и Yearn Finance.

Крупнейшие эксплойты с флэш-кредитами в 2022 году

В базе данных DeFiYield Rekt перечислены эксплойты из 56 флэш-кредитов, где только в 2022 году было несколько взломов на сумму более миллиона долларов. К ним относятся Nirvana Finance, New Free DAO, Inverse Finance, DEUS Finance, Elephant Money и OneRing. В результате, крупнейшим в этом году эксплойтом, был эксплойт кредитной операции Beanstalk, которая потеряла 181 миллион долларов в апреле.

По данным Chainalysis, октябрь стал самым высоким месяцем в истории для хакерских и крипто-эксплойтов.

Деньги также были украдены с платформ DeFi из-за недостатков экономической конструкции. Самым последним было ограбление Mango Markets на сумму 116 миллионов долларов в начале этого месяца, когда злоумышленник манипулировал ценой токена, используя бессрочные фьючерсы.

Автор: Антон Зайцев, аналитик Freedman Сlub Crypto News