Laut einem kürzlich erschienenen Bericht nehmen Blitzkreditangriffe zu. Welche sind das und welche Risiken bestehen?
Stellen Sie sich vor, Sie könnten einen Kredit in nahezu unbegrenzter Höhe aufnehmen, ohne Sicherheiten zu stellen. Es gibt nur einen Haken. Sie müssen es fast sofort zurückzahlen. Klingt seltsam? Das tut es wahrscheinlich. Aber genau das ist ein Blitzkredit. Wie der Name schon sagt, erfolgen diese Kredite fast augenblicklich. (Denken Sie an den DC-Comic-Superhelden The Flash, der mit Lichtgeschwindigkeit reisen kann.)
Ein kürzlich erschienener Bericht von De.Fi deutet darauf hin, dass Flash-Kredite auf dem Vormarsch sind und schlechte Akteure sie für immer mehr Exploits nutzen. Im ersten Quartal dieses Jahres gingen durch diese Art von Exploit 1 Millionen US-Dollar verloren.
Aber warum sollte jemand einen Fast-Sofort-Kredit aufnehmen wollen? Nun, wie bei vielen Dingen in der Kryptotechnik kommt es auf gute Renditen an.
Blitzkredite und Angriffe auf Blitzkredite erklärt
Die Logik von Flash-Darlehen beruht auf Arbitrage, dem Prozess, kleine Preisunterschiede auszunutzen. Im Gegensatz zu anderen Arten von Krediten erfordern Blitzkredite keinen langwierigen Genehmigungsprozess, sodass sie schnell ausgeführt werden können. „Angesichts der niedrigen Gebühren, die mit dem One-Transaktion-Darlehen verbunden sind, besteht ein enormes Potenzial für hohe Renditen“, erklärte Artem Bondarenko, Softwarearchitekt bei De.Fi, in einem Interview mit BeInCrypto. „Für Gläubiger eines Flash-Darlehens gibt es keine Risiken, da das Darlehen sofort zurückgezahlt wird. Andernfalls schlägt die Transaktion fehl.“
In der traditionellen Finanzierung gibt es nichts Vergleichbares zu einem Flash-Darlehen. Es ähnelt einer Call-Option, weist jedoch einige signifikante Unterschiede auf. Bei einem Blitzkredit können Sie das geliehene Geld sofort verwenden, bei einer Kündigungsoption müssen Sie warten. Außerdem werden Transaktionen im traditionellen Finanzwesen normalerweise einzeln ausgeführt, während sie bei Flash-Darlehen in Blöcken ausgeführt werden. Allerdings sind diese kurzfristigen Instrumente nicht ganz ohne Kehrseite, wie der Bericht von De.Fi skizziert.
„Ein Flash-Loan-Angriff findet statt, wenn jemand in der Lage ist, eine große Summe an einem Ort zu leihen und damit die Preise zu manipulieren, indem er große Mengen kauft oder verkauft, wodurch der Preis eines Vermögenswerts beeinflusst wird“, sagte Bondarenko. „Diese Preisänderung dann nutzen, um den gegenteiligen Kauf oder Verkauf auf einer anderen Seite auszunutzen, Arbitrage zwischen den Preisen an den beiden Orten zu schaffen, dann das ursprüngliche Darlehen zurückzuzahlen und die Differenz einzustecken.“
„Wenn das Liquiditätsprotokoll mit den richtigen Preisorakeln richtig gestaltet ist, sollte dies kein Problem sein, aber in Fällen, in denen das Design schlecht ist, ist es eine Schwachstelle, die ausgenutzt werden kann und zu einem Massenliquidationsereignis führt“, fügte Bondarenko hinzu.
Wer sind die Opfer?
Flash-Darlehen sind für Angreifer attraktiv, da sie es ermöglichen, große Summen an Kryptowährung zu leihen, ohne Sicherheiten zu stellen. Um solche Angriffe zu verhindern, können bessere Sicherheitsmaßnahmen wie Code-Audits und ein robustes intelligentes Vertragsdesign implementiert und das Bewusstsein für potenzielle Angriffsvektoren innerhalb des DeFi-Ökosystems geschärft werden.
Am 13. März wurde Euler Finance, ein bekanntes Ethereum-basiertes Kreditprotokoll, gehackt, und der Angreifer stahl verschiedene Kryptowährungen im Wert von Millionen von Dollar, wie Dai, USDC, Staked Ethereum und Wrapped Bitcoin, indem er mehrere Transaktionen ausführte.
Der gestohlene Gesamtbetrag betrug fast 196 Millionen US-Dollar, davon 8.7 Millionen US-Dollar in Dai, 18.5 Millionen US-Dollar in WBTC, 135.8 Millionen US-Dollar in StETH und 33.8 Millionen US-Dollar in USDC.
Der Angreifer verschob die gestohlenen Gelder von Binance Smart Chain über eine Multichain-Brücke zu Ethereum und führte dann den Flash-Darlehensangriff durch. Sie deponierten die gestohlenen Gelder bei Tornado Cash, einem bekannten Krypto-Mixer, um die Wiederherstellungsbemühungen zu erschweren und ihre Identität zu verschleiern.
Im Monat zuvor, am 16. Februar, erlitt Platypus Finance, ein automatisierter Market Maker, einen separaten Blitzkreditangriff. Der Angreifer stahl Stablecoins im Wert von 8,500,887 $, darunter USDC, USDT, BUSD und DAI.
In diesem Fall nutzte der Angreifer eine Schwachstelle im Mechanismus der USP-Solvenzprüfung aus. Dabei sicherte sich der Angreifer einen Blitzkredit in Höhe von 44,000,000 USDC und tauschte ihn dann gegen 44,000,000 Platypus LP-USD. Anschließend prägten sie kostenlos 41,700,000 USP-Token, die gegen verschiedene Stablecoins eingetauscht wurden.
Platypus Finance hat mit Drittanbietern zusammengearbeitet, um die gestohlenen Vermögenswerte einzufrieren, und einige wurden bereits eingefroren. Der schädliche Vertrag wurde entfernt und zusätzliche Sicherheitsmaßnahmen implementiert, um zukünftige Angriffe zu verhindern. Dem Angreifer gelang es jedoch, einen Teil der gestohlenen Gelder zu überweisen.
Wie kann man die Risiken reduzieren?
In gewisser Weise sind Flash Loans einer der großen Gleichmacher von Krypto. Sie ermöglichen es Tradern mit weniger Kapital, sich an Trades mit hohen Belohnungen zu beteiligen, die normalerweise nur sogenannten Walen offen stehen. „Aber wie wir schon mehrfach gesehen haben, stellen Flash-Darlehen auch ein großes Risiko für DeFi-Protokolle dar, die solche Dinge nicht berücksichtigen“, sagte Adrian Hetman, Tech Lead des Triaging-Teams bei Immunefi, gegenüber BeInCrypto.
„Protokolle sollten sich nicht nur vor möglichen Flash-Darlehen-fähigen Angriffen schützen, sondern auch vor Whale-Angriffen, dh was würde passieren, wenn große Spieler plötzlich ihre massiven Mittel verwenden würden, um unser Protokoll zu verwenden? Würde sich das System wie beabsichtigt verhalten? Was ist unser „beabsichtigter“ Geschäftsablauf?“ Hetman fuhr fort. „Die Bedrohungsmodellierung würde helfen, potenzielle Schwachstellen des Systems aufzudecken.“
„Mit Time-Weighted Average Price (TWAP) können Orakel dazu beitragen, Preismanipulationen zu minimieren, indem Preise über einen bestimmten Zeitraum gemittelt werden, wodurch es für Angreifer schwieriger wird, Preise in einer einzigen Transaktion zu manipulieren. Darüber hinaus kann die Implementierung von Multi-Orakel-Systemen für Redundanz und Gegenprüfung von Preisdaten sorgen, wodurch die Abwehrmaßnahmen gegen Manipulationen weiter gestärkt werden“, fügte Hetman hinzu.
Durch die Implementierung von Leistungsschaltern können Angreifer von Flash-Krediten daran gehindert werden, von manipulierten Preisen zu profitieren, wenn erhebliche Preisschwankungen festgestellt werden, erklärte Hetman. „Sobald die Ursache der Preisschwankung identifiziert und behoben ist, kann der Handel wieder aufgenommen werden. Dies muss potenziell gültige Trades beinhalten, die nur von außen als verdächtig erscheinen können.“
„Es ist auch wichtig, dass größere Protokollaktionen nicht nur über einen Block stattfinden. Flash-Darlehen können meistens nur in einer Transaktion für einen Block aufgenommen werden“, fügte Hetman hinzu.
Haftungsausschluss
Alle auf unserer Website enthaltenen Informationen werden in gutem Glauben und nur zu allgemeinen Informationszwecken veröffentlicht. Alle Maßnahmen, die der Leser in Bezug auf die auf unserer Website enthaltenen Informationen ergreift, erfolgen ausschließlich auf eigenes Risiko.
Quelle: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/