Secondo un recente rapporto, gli attacchi di prestito flash sono in aumento. Cosa sono e quali sono i rischi?
Immagina di poter contrarre un prestito di dimensioni quasi illimitate senza fornire alcuna garanzia. C'è solo un problema. Devi ripagarlo quasi all'istante. Suona strano? Probabilmente sì. Ma questo è esattamente ciò che è un prestito flash. Come suggerisce il nome, questi prestiti avvengono quasi istantaneamente. (Pensa al supereroe DC Comic, The Flash, che può viaggiare alla velocità della luce.)
Un recente rapporto di De.Fi suggerisce che i prestiti flash sono in aumento e che i malintenzionati li utilizzano in un numero crescente di exploit. Nel primo trimestre di quest'anno, $ 200 milioni sono stati persi a causa di questo stile di exploit .
Ma perché qualcuno dovrebbe voler sottoscrivere un prestito quasi istantaneo? Bene, come molte cose nelle criptovalute, si tratta di buoni rendimenti.
Spiegazione dei prestiti flash e degli attacchi di prestito flash
La logica dei prestiti flash si basa sull'arbitraggio, il processo di trarre vantaggio da piccole differenze di prezzo. A differenza di altri tipi di prestiti, i prestiti flash non richiedono un lungo processo di approvazione, quindi possono essere eseguiti rapidamente. "Date le basse commissioni coinvolte nel prestito in una transazione, esiste un enorme potenziale per rendimenti elevati", ha spiegato Artem Bondarenko, Software Architect presso De.Fi, in un'intervista a BeInCrypto. “Per i creditori di un prestito lampo, non ci sono rischi in quanto il prestito viene restituito immediatamente. Altrimenti, la transazione fallisce.
Nella finanza tradizionale, non c'è niente come un prestito lampo. È simile a un'opzione call ma con alcune differenze significative. Con un prestito flash puoi utilizzare subito il denaro preso in prestito, mentre con un'opzione call devi aspettare. Inoltre, nella finanza tradizionale, le transazioni di solito avvengono una alla volta, mentre con i prestiti flash avvengono in blocchi. Tuttavia, questi strumenti a breve termine non sono del tutto privi di svantaggi, come sottolinea il rapporto di De.Fi.
"Un attacco di prestito lampo si verifica quando qualcuno è in grado di prendere in prestito un importo enorme in un posto e usarlo per manipolare i prezzi acquistando o vendendo in grandi quantità, influenzando così il prezzo di un bene", ha affermato Bondarenko. "Quindi usando quella variazione di prezzo per sfruttare l'acquisto o la vendita opposta da un'altra parte, creando arbitraggio tra i prezzi nei due posti, quindi rimborsando il prestito originale e intascando la differenza."
"Se il protocollo di liquidità è progettato correttamente con i giusti oracoli sui prezzi, questo non dovrebbe essere un problema, ma nei casi in cui il design è scadente, è una vulnerabilità che può essere sfruttata e portare a un evento di liquidazione di massa", ha aggiunto Bondarenko.
Chi sono le vittime?
I prestiti flash sono attraenti per gli aggressori perché consentono di prendere in prestito ingenti somme di criptovaluta senza fornire garanzie. Per prevenire tali attacchi, è possibile implementare migliori misure di sicurezza come controlli del codice e una solida progettazione di contratti intelligenti e aumentare la consapevolezza dei potenziali vettori di attacco all'interno dell'ecosistema DeFi.
Il 13 marzo, Euler Finance , un noto protocollo di prestito basato su Ethereum, è stato violato e l'attaccante ha rubato milioni di dollari di diverse criptovalute, come Dai, USDC, Staked Ethereum e Wrapped Bitcoin, eseguendo più transazioni.
L'importo totale rubato è stato di quasi $ 196 milioni, con $ 8,7 milioni in Dai, $ 18,5 milioni in WBTC, $ 135,8 milioni in StETH e $ 33,8 milioni in USDC.
L'aggressore ha spostato i fondi rubati da Binance Smart Chain a Ethereum utilizzando un bridge multichain, quindi ha condotto l'attacco di prestito flash. Hanno depositato i fondi rubati in Tornado Cash, un noto mixer di criptovalute, per complicare gli sforzi di recupero e nascondere la loro identità.
Il mese prima, il 16 febbraio, Platypus Finance, un market maker automatizzato, ha subito un altro attacco di prestito lampo. L'attaccante ha rubato 8.500.887 dollari di stablecoin, tra cui USDC, USDT, BUSD e DAI.
In questo caso, l'aggressore ha approfittato di una vulnerabilità nel meccanismo di controllo della solvibilità USP. Nel processo, l'aggressore si è assicurato un prestito lampo di 44.000.000 USDC, quindi lo ha scambiato con 44.000.000 Platypus LP-USD. Hanno quindi coniato 41.700.000 token USP senza costi, che sono stati scambiati con vari stablecoin.
Platypus Finance ha collaborato con servizi di terze parti per congelare i beni rubati e alcuni sono già stati congelati. Il contratto dannoso è stato rimosso e sono state implementate ulteriori misure di sicurezza per prevenire attacchi futuri. Tuttavia, l'aggressore è riuscito a trasferire parte dei fondi rubati.
Come ridurre i rischi?
In un certo senso, i prestiti flash sono uno dei grandi equalizzatori delle criptovalute. Consentono ai trader con meno capitale di impegnarsi in operazioni ad alto rendimento che di solito sarebbero aperte solo alle cosiddette balene. "Ma come abbiamo visto numerose volte, i prestiti flash rappresentano anche un grosso rischio per i protocolli DeFi che non tengono conto di tali cose", ha dichiarato a BeInCrypto Adrian Hetman, Tech Lead del team di triaging di Immunefi .
“I protocolli non dovrebbero solo proteggersi da possibili attacchi abilitati al prestito flash, ma anche dagli attacchi Whale, ovvero cosa accadrebbe se i grandi attori improvvisamente utilizzassero i loro enormi fondi per utilizzare il nostro protocollo? Il sistema si comporterebbe come previsto? Qual è il nostro flusso di affari "previsto"?" Hetman continuò. "La modellazione delle minacce aiuterebbe a rivelare potenziali punti deboli del sistema".
“Utilizzando il prezzo medio ponderato nel tempo (TWAP), gli oracoli possono aiutare a ridurre al minimo la manipolazione dei prezzi calcolando la media dei prezzi in un periodo di tempo specifico, rendendo più difficile per gli aggressori manipolare i prezzi in una singola transazione. Inoltre, l'implementazione di sistemi multi-oracolo può fornire ridondanza e controllo incrociato dei dati sui prezzi, rafforzando ulteriormente le difese contro la manipolazione", ha aggiunto Hetman.
Implementando gli interruttori automatici, è possibile impedire agli aggressori di prestiti flash di trarre profitto dai prezzi manipolati quando vengono rilevate oscillazioni significative dei prezzi, ha spiegato Hetman. “Una volta identificata e affrontata la causa dell'oscillazione dei prezzi, il trading può riprendere. Ciò deve includere potenziali operazioni valide che possono sembrare sospette solo dall'esterno.
“È anche importante non consentire che le principali azioni del protocollo avvengano su un solo blocco. I prestiti flash, il più delle volte, possono essere presi in una sola transazione per un blocco", ha aggiunto Hetman.
Il post Prestiti flash: i mega-prestiti istantanei che minano il mercato delle criptovalute è apparso per la prima volta su BeInCrypto .