บทความเพื่อทำความเข้าใจลักษณะ ประเภท และวิธีแก้ปัญหาการโจมตีสินเชื่อด่วนของสินเชื่อแฟล
สินเชื่อแฟลชเป็นสินเชื่อที่ไม่มีหลักประกันประเภทที่ค่อนข้างใหม่ในโลกการเงินแบบกระจายอำนาจ เดิมที Aave เป็นผู้บุกเบิกในต้นปี 2020 ได้รับความนิยมเพิ่มขึ้นเรื่อย ๆ และมีอยู่ในโปรโตคอลการให้ยืมจำนวนมาก
ผู้เชี่ยวชาญในอุตสาหกรรม crypto จำนวนมากได้กลายเป็นผู้สนับสนุนที่กระตือรือร้นของสินเชื่อแฟลช เนื่องจากพวกเขาเสนอวิธีการใหม่ในการเก็งกำไร ดำเนินการธุรกรรมที่รวดเร็ว และเสนอคุณสมบัติใหม่ๆ มากมายที่ก่อนหน้านี้ไม่สามารถใช้งานได้ในการเงินแบบดั้งเดิม
พวกเราส่วนใหญ่คุ้นเคยกับเงินกู้แบบดั้งเดิม ซึ่งผู้ให้กู้ให้ยืมเงินแก่ผู้กู้และจ่ายคืนตามระยะเวลาที่กำหนดโดยมีเบี้ยประกันภัยคงที่หรือดอกเบี้ยนอกเหนือจากเงินต้น สินเชื่อ Flash มีพื้นฐานเหมือนกัน แต่มีลักษณะเฉพาะหลายประการ:
นี่คือเงินกู้ที่ไม่มีหลักประกันซึ่งหมายความว่าผู้กู้ไม่จำเป็นต้องใช้ทรัพย์สินหรือเงินฝากใด ๆ เพื่อขอรับเงินกู้ นอกจากนี้ ไม่เหมือนเงินกู้ที่ไม่มีหลักประกันแบบดั้งเดิม คือไม่มีกระบวนการตรวจสอบเครดิต
สินเชื่อแฟลชทั้งหมดดำเนินการผ่านสัญญาอัจฉริยะบนบล็อกเชนและกำหนดเงื่อนไขว่าหากผู้กู้ไม่คืนเงินในธุรกรรมบล็อคเชนเดียว กระบวนการกู้ยืมจะถูกย้อนกลับราวกับว่าไม่เคยเกิดขึ้น ความแตกต่างที่สำคัญนี้คือสาเหตุที่ผู้กู้สามารถขอสินเชื่อได้อย่างรวดเร็วโดยไม่ต้องมีหลักประกันหรือการตรวจสอบเครดิต เนื่องจากจะช่วยขจัดความเสี่ยงใดๆ สำหรับผู้ให้กู้
กระบวนการกู้ยืมเป็นแบบทันทีดังนั้น เมื่อมีการขยายเวลาการกู้ยืม ผู้กู้ต้องเรียกใช้สัญญาอัจฉริยะอื่นๆ เพื่อพยายามดำเนินการธุรกรรมที่เกือบจะทันทีโดยใช้สินเชื่อแฟลช จากนั้นจึงคืนเงินก่อนสิ้นสุดธุรกรรมบล็อกเดียว โดยปกติภายในไม่กี่วินาที
เนื่องจากผู้ให้กู้ไม่มีความเสี่ยงด้านเงินทุนและผู้กู้ไม่มีหลักประกันหรือข้อผูกมัดในการตรวจสอบเครดิต จึงไม่แปลกใจเลยที่สินเชื่อแฟลชเติบโตอย่างรวดเร็วใน DeFi ตั้งแต่ปีที่แล้ว
ลองดูกรณีการใช้เงินกู้แฟลชสองสามกรณี ในกรณีแรก สมมติว่าผู้ใช้ยืม DAI โดยใช้การถือครอง ETH เป็นหลักประกัน หากราคาของ ETH เริ่มลดลง มูลค่าของหลักประกันจะลดลงและผู้ใช้จะต้องเผชิญกับภัยคุกคามจากการชำระบัญชีเงินกู้ในบางจุด
เพื่อแก้ไขสถานการณ์นี้ ผู้ใช้สามารถใช้ประโยชน์จากสินเชื่อแฟลช ผู้ยืมสามารถแลกเปลี่ยน ETH ที่ผันผวนเป็นเหรียญ Stablecoins ผ่านฟังก์ชันการยืมแบบแฟลชนี้ มูลค่าของหลักประกันจะคงที่ทันที โดยไม่มีขอบเขตสำหรับการชำระบัญชี
แม้ว่ากรณีการใช้งานนี้จะจัดอยู่ในประเภทการแลกเปลี่ยนหลักประกัน คุณยังสามารถใช้สินเชื่อแฟลชเพื่อแลกเปลี่ยนหนี้ของคุณได้ พิจารณาตัวอย่างก่อนหน้านี้ที่คุณยืมเงินใน DAI
ชื่อเรื่องรอง
การโจมตีสินเชื่อแฟลช
โดยหลักการแล้ว สินเชื่อแฟลชช่วยให้ผู้ใช้สามารถยืมได้มากเท่าที่ต้องการโดยไม่มีหลักประกันใดๆ เป็นผลให้ผู้กู้สามารถใช้ Ether มูลค่าหลายพันหรือหลายแสนดอลลาร์เป็นเงินกู้โดยไม่มีหลักประกันหรือกระบวนการ KYC
สิ่งนี้นำไปสู่การโจมตีของสินเชื่อแฟลชที่เพิ่มขึ้น โดยตัวแทนที่ประสงค์ร้ายจะนำสินเชื่อแฟลชจำนวนมากออกมา จากนั้นใช้เงินเหล่านี้เพื่อควบคุมตลาดและใช้ประโยชน์จากโปรโตคอล DeFi ต่างๆ เพื่อผลกำไรที่เป็นระเบียบเรียบร้อย ซึ่งมักเป็นค่าใช้จ่ายของนักลงทุนทั่วไปและผู้ใช้แพลตฟอร์ม
ผู้โจมตีรวมตัวกันยืมเงินกู้ยืมแบบแฟลชผ่านชุดโปรโตคอลบนเครือข่ายที่มีช่องโหว่ เพื่อให้ได้ทรัพย์สินที่ถูกขโมยไปหลายแสนดอลลาร์ก่อนที่จะชำระคืนเงินกู้
มีการโจมตีด้วยเงินกู้แฟลชหลายครั้งในปีที่ผ่านมา และความถี่ของการโจมตีเหล่านี้ดูเหมือนจะเพิ่มขึ้น
ชื่อเรื่องรอง
ตัวอย่างของการโจมตีด้วยสินเชื่อแฟลช
การโจมตีเงินกู้แฟลชครั้งแรกเกิดขึ้นในปี 2020 เมื่อผู้กู้ได้รับเงินกู้แฟลช ETH โดยใช้โปรโตคอลการให้ยืม DeFi dYdX จากนั้นพวกเขาแบ่งเงินกู้ออกเป็นสองส่วนและส่งไปยังแพลตฟอร์มการให้ยืม Compound และ Fulcrum
ใน Fulcrum มีการใช้เงินกู้ด่วนบางส่วนเพื่อขาย ETH เทียบกับ WBTC Fulcrum ดำเนินการซื้อ WBTC จาก Uniswap การแลกเปลี่ยนแบบกระจายอำนาจยอดนิยมผ่านโปรโตคอล DeFi อื่นที่เรียกว่า Kyber
เนื่องจาก WBTC ของ Uniswap มีสภาพคล่องต่ำ ราคาสินทรัพย์จึงสูงขึ้น เป็นผลให้ Fulcrum จ่ายในราคาที่สูงกว่าปกติเพื่อซื้อ WBTC
ในเวลาเดียวกัน ผู้กู้ยังรับเงินกู้ WBTC จาก Compound และซื้อขายใน Uniswap และราคาของ WBTC ก็เพิ่มขึ้น
ด้วยการจัดการหลายโปรโตคอลและเพิ่มราคาของ WBTC ปลอม ผู้กู้ทำกำไรได้อย่างเป็นระเบียบ ไม่เพียงแต่ชำระคืนเงินกู้ ETH ของเขาเท่านั้น แต่ยังได้รับกำไร ETH ส่วนเกินอีกด้วย
ในขณะที่ผู้กู้ทำกำไรได้อย่างมีนัยสำคัญ Fulcrum ถูกหลอกให้ซื้อ WBTC ในราคาที่สูงกว่าราคาตลาด
ในการโจมตี flashloan ที่แยกต่างหาก ผู้โจมตีใช้ประโยชน์จากและจัดการโปรโตคอล bZX อีกครั้งซึ่ง Fulcrum สร้างขึ้น ขั้นแรก ผู้กู้รับเงินกู้ ETH ส่วนหนึ่งและวางคำสั่งซื้อจำนวนมากบน Kyber เพื่อซื้อ sUSD
สัญญาอัจฉริยะรับรู้สกุลเงินและราคา แต่พวกเขาไม่เข้าใจว่า Stablecoins นั้นผูกติดกับดอลลาร์ คำสั่งซื้อจำนวนมากทำให้ราคาของ sUSD พุ่งสูงขึ้นถึง $2 ต่อชิ้น ซึ่งขัดกับรากฐานของสิ่งที่ Stablecoin ควรจะทำได้
เนื่องจากกำลังซื้อของ sUSD เพิ่มขึ้นเป็นสองเท่า ผู้กู้จึงใช้มันเพื่อกู้เงิน ETH มากกว่าที่เขาเคยถอนออกไปก่อนหน้านี้ จากนั้นเขาก็จ่ายเงินกู้ ETH ก้อนแรกและหนีไปพร้อมกับเงินที่เหลือ
ชื่อเรื่องรอง
จะป้องกันการโจมตีด้วยเงินกู้แฟลชได้อย่างไร
เนื่องจากการโจมตีเหล่านี้ใช้ประโยชน์จาก DEX เพื่อเชื่อฟีดราคาเดียวหรือฟีดราคาเดียว ซึ่งสามารถถูกควบคุมโดยการวางคำสั่งซื้อจำนวนมากสำหรับสกุลเงิน จึงควรใช้ออราเคิลการกำหนดราคาแบบกระจายอำนาจเพื่อกำหนดราคาที่ถูกต้องของสินทรัพย์
มีหลายวิธีที่ dApps สามารถป้องกันตนเองจากการโจมตีของสินเชื่อแฟลช ซึ่งวิธีที่พบได้บ่อยที่สุดคือ:
Oracle แบบกระจายอำนาจ —— ตัวเลือกที่ปลอดภัยที่สุดคือการใช้ oracle แบบกระจายอำนาจอย่างไม่ต้องสงสัย โดยใช้แหล่งข้อมูลหลายแห่งเพื่อค้นหา "ราคาจริง" ออราเคิลที่กระจายอำนาจบางส่วน เช่น Umbrella Network ของเรา ก้าวไปอีกขั้นด้วยการส่งข้อมูลไปยังบล็อกเชนเพื่อให้มั่นใจถึงความน่าเชื่อถือของข้อมูล
ซึ่งหมายความว่าหากผู้ไม่หวังดีพยายามโจมตี Dapp อย่างรวดเร็วซึ่งได้รับฟีดจาก Oracle แบบกระจายศูนย์ การจัดการราคาจะล้มเหลว เวลาในการทำธุรกรรมจะผ่านไป และธุรกรรมทั้งหมดจะถูกย้อนกลับ — ไม่ผ่านการประมวลผล
การอัปเดตราคาบ่อยครั้ง- วิธีนี้แก้ไขได้ง่ายบนกระดาษ แต่ในทางปฏิบัติอาจมีราคาแพงกว่า ในที่นี้ เรากำลังเพิ่มความถี่ของความถี่ที่กลุ่มสภาพคล่องร้องขอราคาใหม่จากออราเคิล เหตุผลคือเมื่อจำนวนการอัปเดตเพิ่มขึ้น ราคาของโทเค็นในกลุ่มจะอัปเดตเร็วขึ้น และทำให้การปรับราคาไม่ได้ผล
ราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา- เป็นเรื่องปกติที่จะใช้ค่าเฉลี่ย (หรือค่ามัธยฐานที่ใกล้ที่สุด) เพื่อคำนวณราคาในกลุ่มสภาพคล่อง อย่างไรก็ตาม TWAP แนะนำให้ใช้ราคาเฉลี่ยในหลายช่วงตึก
สิ่งนี้ช่วยต่อต้านการโจมตีด้วยเงินกู้แบบแฟลช เนื่องจากลำดับธุรกรรมการโจมตีทั้งหมดต้องได้รับการประมวลผลภายในบล็อกเดียวกัน แต่ TWAP ไม่สามารถจัดการได้หากไม่จัดการบล็อกเชนทั้งหมด
คำแนะนำเชิงกลยุทธ์อีกประการหนึ่งเพื่อป้องกันการโจมตีดังกล่าวคือการใช้บล็อกธุรกรรมสองบล็อกแทนที่จะเป็นบล็อกเดียวในรอบธุรกรรม
อย่างที่คุณจินตนาการได้ สิ่งนี้ทำให้กระบวนการยุ่งยากและขัดขวางผู้โจมตี อย่างไรก็ตาม มันก็มีความเสี่ยงที่จะทำให้ DeFi UI เสียหายได้เช่นกัน
สรุปแล้ว
สรุปแล้ว
DeFi ยังคงเป็นสาขาที่เกิดขึ้นใหม่ วิธีการทำงานอยู่ภายใต้นวัตกรรมมากมายและการเปลี่ยนแปลงขั้นพื้นฐานอย่างรวดเร็ว การเปลี่ยนแปลงอย่างรวดเร็ว แม้แต่การเปลี่ยนแปลงใหม่ๆ มักนำไปสู่การละเลยกลุ่มที่เปราะบางอย่างยิ่ง
ผู้โจมตีจะยังคงสำรวจช่องโหว่ที่มีอยู่ต่อไป แต่ในแต่ละเหตุการณ์ กลไกการป้องกันจะแข็งแกร่งขึ้นเมื่อระบบนิเวศทั้งหมดมีวิวัฒนาการ
แม้ว่าจะมีวิธีช่วยลดความเสี่ยง เช่น การใช้ oracles แบบกระจายอำนาจ, การอัปเดตราคาให้บ่อยขึ้น หรือกลยุทธ์ TWAP เนื่องจากอุตสาหกรรม DeFi ทั้งหมดใช้วิธีการที่มีประสิทธิภาพมากขึ้น การยืมแฟลช จะไม่เป็นเครื่องมือในการแสวงหาผลประโยชน์อีกต่อไป สู้มัน.
