Понимание атак с использованием срочных кредитов
Атака флэш-кредитов — это тип эксплойта в децентрализованных финансах (DeFi), который нацелен на конкретный пул путем истощения активов через смарт-контракт, предназначенный для флэш-кредитов. В ходе этих атак злоумышленник занимает капитал в виде кредита, использует его для покупки других активов посредством арбитража и быстро погашает кредит, в конечном итоге получая прибыль от оставшихся активов.
Важно отметить, что атаки на флэш-кредиты могут происходить только в рамках протоколов DeFi, поскольку они работают без разрешения и полагаются исключительно на смарт-контракты. Хотя отсутствие посредников дает такие преимущества, как экономия средств и устойчивость к цензуре, оно также делает платформы DeFi уязвимыми для таких атак.
Проведение флеш-атаки с использованием кредита — сложная и непростая задача, но киберпреступники успешно реализовали множество таких случаев.
Как правило, атаки на флэш-кредиты включают в себя использование заемного капитала для арбитража активов из других протоколов DeFi. Например, в ходе атаки на протокол bZx хакер взял кредит по контракту и быстро конвертировал его в стейблкоины. Манипулируя ценой стейблкоина sUSD посредством крупного ордера на покупку, злоумышленник завысил его стоимость. Впоследствии злоумышленник получил более крупный кредит, используя манипулируемые доллары США в качестве залога, погасил все кредиты и получил прибыль от оставшихся активов.
Еще одна заметная атака с использованием флэш-кредитов произошла ранее на той же платформе. Злоумышленник взял кредит на dYdx, кредитном децентрализованном приложении, и перевел капитал в Compound и Fulcrum. На Fulcrum злоумышленник закоротил ETH против Wrapped Bitcoin (WBTC), одновременно взяв сложный кредит WBTC. Воспользовавшись повышением цен на WBTC, вызванным приобретением Fulcrum, злоумышленник продал свои WBTC на Uniswap, погасил кредиты и скрылся с избытком ETH.
В мае 2021 года PancakeBunny, популярный агрегатор доходного фермерства в Binance Smart Chain, стал жертвой атаки с использованием флеш-кредитов. Злоумышленник одолжил значительную сумму BNB на PancakeBunny, манипулируя ее ценой по отношению к стейблкоину Binance USD и токенам Bunny. Выбросив свои токены Bunny на рынок, злоумышленник вызвал резкое падение цен.