حمله وام سریع یا فلش (Flash Loan Attack) چیست؟ چگونه از آن جلوگیری کنیم؟

نحوه مشاهده و استفاده مردم از ارزهای دیجیتال از زمان توسعه برنامه‌های مالی غیرمتمرکز (DeFi) بسیار تغییر کرده است، به‌ویژه با پلتفرم‌های مالی مستقل که انواع مختلفی از ارزهای دیجیتال را ارائه می‌دهند، که به نوبه خود ارزش زیادی هم برای وام‌گیرندگان و هم برای طلبکاران فراهم می‌کند. یکی از انواع وام هایی که در اکوسیستم DeFI بسیار محبوب شده است، وام فوری یا فوری است زیرا به وام گیرندگان اجازه می دهد تا به سرعت از فرصت های آربیتراژ استفاده کنند. وجوه قرض گرفته شده را برای خرید یک دارایی رمزنگاری، فروش آن، بازپرداخت وام و پرداخت بهره وام فراهم می کند. متأسفانه اگرچه این ایده عالی است و به خوبی جواب می دهد، اما افرادی هستند که از این شکل وام استفاده می کنند. برای آشنایی بیشتر با ما تا پایان مقاله همراه باشید حمله سریع اعتباریحمله وام فلش) بیشتر بدانید که آنها چیست و چگونه از آنها جلوگیری کنید.

حمله وام سریع یا حمله وام سریع چیست؟

حمله سریع وام با استفاده از امنیت قرارداد هوشمند، یک پلتفرم خاص است که در آن مهاجم معمولاً مقادیر زیادی از وجوه را که نیاز به وثیقه ندارد قرض می‌کند. آنها سپس قیمت یک دارایی کریپتو را در یک صرافی دستکاری می کنند و به سرعت آن را در صرافی دیگر می فروشند. این فرآیند سریع است و مهاجم قبل از اتمام و ترک صحنه بدون هیچ ردی، چندین بار فرآیند را تکرار می کند.

وام سریع چیست؟

توسعه فضای وام دهی DeFi وام دهی کریپتو را بسیار محبوب کرده است. از آنجایی که وام های سریع از تمام قدرت فناوری های موجود استفاده می کنند، به شکل بسیار جذابی از وام تبدیل شده اند.

اصطلاح وام سریع زمانی را توصیف می کند که وام گیرنده وام بدون وثیقه می گیرد. شاید از خود بپرسید که چگونه این امکان وجود دارد؟ با استفاده از قرارداد هوشمند پلتفرم، کل فرآیند استقراض و بازگشت در یک تراکنش در بلاک چین انجام می شود.

به این معنی که وام گیرنده باید سریع عمل کند و وام را در مدت کوتاهی بازپرداخت کند. اگر وام دهنده به هر نحوی قصور کند، کل معامله باطل است گویی هیچ اتفاقی نیفتاده است.

اصل ساده و بسیار کاربردی است. بر خلاف وام های سنتی و تضمین شده، برای پردازش وام بدون وثیقه نیازی به وثیقه، امتیاز اعتباری یا مدیریت ندارید. شما می توانید در عرض چند ثانیه مقادیر زیادی استیبل کوین به دست آورید و به همان سرعت از آنها به نفع خود استفاده کنید.

این کاری است که برخی از معامله گران در پلتفرم های مختلف DeFi انجام می دهند. به عنوان مثال، کاربران Aave می توانند چنین وام هایی بگیرند، از وجوه در یک فرصت آربیتراژ استفاده کنند، وام را بازپرداخت کنند و سود را حفظ کنند.

فرآیند گرفتن و اعطای وام به صورت خودکار انجام می شود و وقتی همه چیز خوب پیش می رود، هم وام دهنده و هم وام گیرنده از وام سود می برند. اگر مشکلی پیش بیاید، معامله لغو می شود و هیچ سودی برای هیچ یک از طرفین وجود ندارد.

آیا حملات وام روز پرداخت رایج است؟

با توجه به اینکه این فناوری هنوز در حال توسعه است، حمله اعتباری سریع یا فلش دفای در حال حاضر رایج است. در حال حاضر، بیش از 70 سوء استفاده از DeFi برای سرقت مقادیر هنگفت پول به ارزش حدود 1.5 میلیارد دلار استفاده شده است. این روند احتمالاً در سال‌های آینده نیز ادامه خواهد داشت زیرا غیرقابل نفوذ کردن امنیت پلتفرم یک کار چالش برانگیز است.

اولین چالش مربوط به ناتوانی توسعه دهنده در پوشش تمام نقاط ضعف احتمالی است، زیرا فناوری بلاک چین نسبتاً جدید است. مشکل دیگر این است که سیستم ها به سرعت توسعه می یابند و پول زیادی در هر یک از این پروژه ها صرف می شود. خطرات زیاد است و بسیاری از توسعه دهندگان روش های مختلفی را برای یافتن باگ های سیستم امتحان می کنند. برخی از مهاجمان حمله سریع وام از محاسبات نادرست استخرهای نقدینگی استفاده می کنند. برخی دیگر حملات ماینینگ یا خطاهای کدگذاری هستند.

متأسفانه آنچه همه چیز را ممکن می کند ضعف است. چالش قراردادهای هوشمند این است که آنها کنترل کاملی بر پروتکل های DeFi دارند. هنگامی که مهاجمان با جزئیات نحوه کار خود را درک کنند، می توانند نقص های قرارداد را دستکاری کرده و از آنها به نفع خود استفاده کنند. این بدان معنی است که امنیت DeFi یک تعادل ظریف است: مهارت سازنده قرارداد از یک طرف و مهارت هکر از طرف دیگر.

آسیب پذیری دیگر مربوط به داده های قیمت گذاری این پلتفرم است. از آنجایی که صرافی‌های زیادی در سراسر جهان وجود دارد، یافتن قیمت واقعی برای دارایی‌های رمزنگاری دیجیتال عملا غیرممکن است. این تفاوت در قیمت همان چیزی است که تجارت آربیتراژ را جذاب می کند. دنبال کردن بازارها برای نوسانات قیمتی قانونی یک راه عالی برای کسب سود است. با این حال، حمله اعتبار سریع قیمت ها را دستکاری می کند و از تغییرات ناگهانی آنها سوء استفاده می کند.

هنگامی که مهاجم وام سریع دریافت می کند، یک فروش مصنوعی ایجاد می کند که باعث می شود قیمت دارایی کریپتو به شدت کاهش یابد. خوشبختانه، در حال حاضر سیستم هایی برای جلوگیری از سوء استفاده از وام های بدون وثیقه وجود دارد.

نمونه های حمله وام فلش

ده ها مورد تا الان حمله اعتباری سریع اتفاق افتاد در اینجا فقط تعدادی از بزرگترین آنها وجود دارد.

امور مالی کرم

CREAM Finance بارها در سال 2021 مورد حمله قرار گرفت. یکی از بزرگترین سرقت ها 130 میلیون دلار بود. مجرمان میلیون ها دلار توکن نقدی CREAM را در مدت زمان نامعلومی به سرقت بردند. همه قربانیان در طول زنجیره قابل مشاهده هستند و مجرمان هنوز دستگیر نشده اند.

خوشبختانه، این حفره تنها بخشی از سیستم DeFi Cream بود، زیرا پلتفرم ادغام شریک آنها، سالن فایننس، امن باقی ماند. مانند بیشتر هک‌های پروتکل DeFi، مهاجمان قیمت‌گذاری اوراکل و استفاده از وام‌های سریع متعدد را دستکاری کردند. با کمک تیم Yearn، این پلتفرم به سرعت آسیب پذیری را اصلاح کرد.

آلفا هومورا

در فوریه 2021، هک پروتکل Alpha Homora منجر به ضرر 37 میلیون دلاری شد. مهاجم وام سریع همچنین از طریق یک سری وام های فوری از بانک آهنی CREAM Finance استفاده کرده است. بانک آهن، طلبکار پروتکل آلفا همورا است.

هکرها این فرآیند را چندین بار تکرار کردند تا زمانی که CreamY USD (یا cyUSD) را جمع آوری کردند، سپس از توکن ها برای قرض گرفتن سایر ارزهای دیجیتال استفاده کردند. هک بسیار پیچیده بود و شامل چندین مرحله بود. اساسا، مهاجم حافظه sUSD HomoraBank v2 را دستکاری کرده است.

آنها یک سری تراکنش ها و وام های سریع انجام دادند که به آنها اجازه می داد از پروتکل وام بین HomoraBank v2 و Iron Bank استفاده کنند.

علاوه بر این، آنها در شرایطی که یک وام گیرنده وجود دارد، از محاسبه گرد کردن محاسبات وام استفاده کردند.

dYdX

مواردی وجود دارد که پخش پروتکل نیاز به زمان بندی مناسب و دستکاری قیمت دارد. این مورد در مورد سوء استفاده از dYdX در اوایل سال 2020 بود. مهاجم از این پلت فرم برای دریافت وام سریع استفاده کرد، سپس وجوه را تقسیم کرد و از آنها در دو پلتفرم معاملاتی Fulcrum و Compound استفاده کرد.

بخش اول در Fulcrum در تبادل ETH به WBTC استفاده شد. در این فرآیند، شبکه Kyber سفارش را از طریق DEX Uniswap دریافت کرد. نکته مهم این است که نقدینگی پایین Uniswap منجر به قیمت فوق العاده بالای WBTC شده است.

در همان زمان، مهاجم از قسمت دوم وام در پلتفرم Compound برای دریافت وام سریع WBTC استفاده کرد. با افزایش سرسام آور قیمت Uniswap، مهاجم به سرعت مبادله را اجرا کرد و سود غیرقانونی قابل توجهی به دست آورد.

اسم حیوان دست اموز پنکیک

در می 2021، یک هکر پلتفرم PancakeBunny را آزمایش کرد و نزدیک به 3 میلیون دلار سرقت کرد. ابتدا، هکر از PancakeSwap برای دریافت وام بزرگ از BNB استفاده کرد. در طول حمله، هکر جفت های تجاری BUNNY/BNB و USDT/BNB را دستکاری کرد.

سپس یک وام فلش بزرگ، مقدار زیادی توکن BUNNY را در اختیار هکر قرار داد، که او به سرعت آنها را رها کرد، BNB را پس داد و با سود ناپدید شد. کل این حادثه وحشتناک باعث شد که قیمت PancakeBunny از 146 دلار به 6.17 دلار کاهش یابد.

چگونه از حمله سریع اعتباری جلوگیری کنیم؟

با وقوع حملات بیشتر، کارشناسان امنیتی در مورد سوء استفاده های مختلف وام های روز پرداخت اطلاعات بیشتری کسب می کنند. تمام آسیب‌پذیری‌های موجود در مثال‌های ذکر شده در بالا اصلاح شده‌اند و ظهور آن‌ها منجر به دو راه‌حل محبوب شده است.

اوراکل ها برای قیمت گذاری غیرمتمرکز

از آنجایی که بیشتر حملات وام سریع به دستکاری قیمت بستگی دارد، لازم است با این رویکرد با اوراکل های قیمت گذاری غیرمتمرکز مقابله کرد. نمونه های خوب Chainlink و Band Protocol هستند. این پلتفرم ها با ارائه قیمت دقیق ارزهای دیجیتال مختلف، تمامی پروتکل ها را ایمن نگه می دارند.

به عنوان مثال، حملات DeFi مانند آنچه با dYdX رخ داد امکان پذیر نخواهد بود زیرا پروتکل ها قیمت خود را از DEX دریافت نمی کنند.

Alpha Homora اکنون از Alpha Oracle Aggregator برای جلوگیری از تکرار تاریخ استفاده می کند. با افزایش اندازه بازار DeFi، شاهد سیستم های بیشتری از این دست خواهیم بود.

استقرار پلتفرم های امنیتی DeFi

اکوسیستم DeFi از فناوری های پیشرفته ای استفاده می کند که چشم انداز سیستم های مالی بین المللی را تغییر می دهد. این نوع توجه فشار زیادی بر کل سیستم وارد می کند.

خبر خوب این است که در حال حاضر پلتفرم های خاصی وجود دارد که به چالش های امنیتی فعلی رسیدگی می کند. OpenZeppelin یک مثال کامل است. نقش آن در کل اکوسیستم محافظت از قراردادهای هوشمند و به طور کلی پلتفرم های DeFi است.

علاوه بر قابلیت‌های حسابرسی قرارداد هوشمند، راه‌حل‌هایی مانند Defender Sentinels محافظت مداوم در برابر حملات وام‌های فلش را فراهم می‌کنند. توسعه دهندگان می توانند از این ابزار برای خودکارسازی استراتژی های امنیتی خود، خاموش کردن سریع کل سیستم ها و استقرار وصله ها استفاده کنند.

این نوع واکنش سریع برای کاهش آسیب های احتمالی که حمله اعتباری سریع می تواند رنج بکشد ضروری است.

بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلت فرم برای خنثی کردن حملات به سیستم های خود استفاده می کنند.

آیا وام های سریع بدون ریسک هستند؟

زمانی که همه چیز طبق برنامه پیش می رود، وام های روز پرداخت کاملاً بدون ریسک هستند. وام گیرنده و وام دهنده در صورتی می توانند از این معامله بهره مند شوند که تمامی شرایط قرارداد هوشمند را داشته باشند.

از دیدگاه وام دهنده، آنها هرگز پرداخت نمی کنند. همه اینها مصنوعی است و اگر وام گیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات روی بلاک چین می شود. اگر وام گیرنده نکول کند، معامله به سادگی رد می شود.

وام دهنده هنوز وجوه دارد و وام گیرنده به کسی بدهکار نیست.

از طرف دیگر، وام گیرنده فقط می تواند برنده شود. آنها می توانند از وجوه قرض گرفته شده برای سود بردن از آربیتراژ در بازار کریپتو استفاده کنند. اگر معامله انجام شود، پول به سادگی به وام دهنده باز می گردد.

در حالت ایده آل، طراحی سیستم اعتباری وام بدون ریسک و فوری را تضمین می کند. با این حال، برای اطمینان از اینکه همه چیز بدون ریسک است، قراردادهای هوشمند باید تمام جزئیات معامله را پوشش دهند. بنابراین، هیچ حساسیتی برای سوء استفاده توسط مهاجمان وجود ندارد.

بنابراین وقتی نوبت به وام‌های سریع می‌رسد، بزرگ‌ترین خطری که در حال حاضر اکوسیستم DeFi را تهدید می‌کند، نشت داده‌ها، به‌علاوه اشکالات قرارداد هوشمند است که این حملات را ممکن می‌سازد.

حتی اگر اوضاع در حال حاضر خوب به نظر نرسد، با گذشت زمان این سیستم ها در نهایت ایمن خواهند شد. با پلتفرم هایی مانند Chainlink و OpenZeppelin، حملات وام فلش احتمالا بخشی از تاریخ خواهند شد.

آخرین کلمه

وام سریع یا سریع یکی دیگر از افزودنی های عالی به اکوسیستم DeFi. اگرچه آنها در حال حاضر مستعد حمله هستند، اما روند در آینده تغییر خواهد کرد. همانطور که توسعه دهندگان قراردادهای هوشمند بهتری می نویسند و سیستم های بیشتری از ابزارهای امنیتی و اوراکل های قیمت گذاری غیرمتمرکز استفاده می کنند، شاهد کاهش تعداد حملات هکرها خواهیم بود.

اگر از خود می پرسید که آیا وام های روز پرداخت سرمایه گذاری خوبی هستند، به نظر می رسد که پاسخ مثبت است. به یاد داشته باشید، همیشه حداقل خطر حمله اعتباری سریع وجود دارد، بنابراین هنگام وام دادن به ارزهای دیجیتال خود در پلتفرم های DeFi مراقب باشید.