حملات وام فلش چیست؟

حملات وام فلش چیست؟

• حمله وام فلش چیست؟
• وام های فلش چیست؟
• حملات وام فلش چگونه کار می کنند
• حمله پنکیک بانی
• هک پروتکل آلفا هومورا
• DeFi Yield Farming Aggregator ApeRocket Flash Loan Attack
• چرا حملات وام فلش در دیفای رایج است؟
• حملات وام‌های فوری ارزان هستند
• حملات وام های فلش کم خطر هستند
• چگونه از حملات وام فلش جلوگیری کنیم
• از اوراکل های غیرمتمرکز برای داده های قیمت استفاده کنید
• تراکنش های حیاتی را مجبور کنید از دو بلوک عبور کنند
• با استفاده از ابزارهای تشخیص حمله وام فلش

جنبه زشت DeFi بار دیگر در این هفته زمانی که پروتکل زنجیره هوشمند بایننس (BSC) PancakeBunny مورد حمله آسیب‌پذیری وام فلش 200 میلیون دلاری فاجعه‌بار قرار گرفت ، بیش از 700000 BUNNY و 114000 توکن BNB را از دست داد.حملات وام فلش چیست؟

علیرغم بهترین تلاش های صنعت، ضرر دائمی است. و نه، با وجود چندین درخواست، حتی نیک کیج هم نتوانست هکر را وادار کند که این بانی را دوباره در جعبه قرار دهد . حملات وام فلش چیست؟

همه شوخی‌ها به کنار، حملات وام‌های فلش بی‌معنا نیستند. آنها در واقع در حال تبدیل شدن به یک مشکل بسیار جدی در حوزه ارزهای دیجیتال و به ویژه فضای مالی غیرمتمرکز (DeFi) هستند .

در این مقاله نگاهی به این خواهیم داشت که آنها چیستند، چگونه کار می کنند، چرا اینقدر شایع هستند و آیا اصلاً می توان آنها را متوقف کرد.

حمله وام فلش چیست؟

حملات وام فلش نوعی از حملات DeFi هستند که در آن یک سارق سایبری وام فلش (شکلی از وام دهی بدون وثیقه) را از یک پروتکل وام می گیرد و از آن همراه با انواع حیله ها برای دستکاری بازار به نفع خود استفاده می کند. چنین حملاتی می توانند در عرض چند ثانیه اتفاق بیفتند و در عین حال همچنان شامل چهار یا چند پروتکل DeFi باشند.

حملات وام فلش رایج‌ترین انواع حملات DeFi هستند، زیرا ارزان‌ترین حملات هستند و راحت‌تر از آن‌ها فرار می‌کنند. آنها از زمان افزایش محبوبیت DeFi در سال 2020 به طور مداوم در سرفصل اخبار قرار گرفته اند و به نظر می رسد در سال 2021 بیشتر در حال رشد هستند و تا به امروز صدها میلیون دلار ضرر را شامل می شوند.

وام های فلش چیست؟

وام های فلش نوع جدیدی از وام های بدون وثیقه هستند که توسط قراردادهای هوشمند پیشگام Aave ، یکی از برترین پروتکل های وام دهی در DeFi، اجرا می شوند.

به طور سنتی دو نوع وام وجود دارد: وام های تضمین شده، که نیاز به وثیقه دارند، و وام های بدون وثیقه، که نیازی به وثیقه ندارند. یک مثال خوب از وام بدون وثیقه زمانی است که 2000 دلار از بانک وام می گیرید.

برخی از بانک ها حاضرند به شما این مبلغ را وام دهند به شرطی که سابقه خوبی در پرداخت وام داشته باشید.

با این حال، اگر مبلغی که می‌خواهید وام بگیرید خیلی زیاد است، ارائه وام بدون وثیقه برای آنها بسیار خطرناک است، حتی اگر امتیاز اعتباری خوبی داشته باشید.

به عنوان مثال، اگر می‌خواهید 30000 دلار وام بگیرید، بانک‌ها معمولاً از شما می‌خواهند وثیقه‌هایی مانند خانه، وسیله نقلیه و غیره را برای کاهش ریسک ارائه دهید.حملات وام فلش چیست؟

وام های فلش اساساً وام های بدون وثیقه بر روی استروئیدها برای نسل DeFi degen هستند که نیازی به وثیقه، چک اعتباری، یا محدودیتی برای میزان وام گرفتن شما ندارند، مشروط بر اینکه بتوانید وام را در همان معامله بازپرداخت کنید. به گفته Aave ، وام‌های فلش «اولین گزینه وام بدون وثیقه در DeFi» هستند که برای توسعه‌دهندگان طراحی شده‌اند و به کاربران اجازه می‌دهند تا فورا و به راحتی وام بگیرند.

آربیتراژ محبوب ترین مورد استفاده از وام های فلش است زیرا به معامله گران اجازه می دهد از تفاوت قیمت ها در صرافی های مختلف درآمد کسب کنند.

به عنوان مثال، اگر LINK در صرافی A 30 دلار و در صرافی B 35 دلار باشد، کاربر می تواند از طریق وام فلش وام گرفته و سفارش جداگانه ای برای خرید 100 LINK به قیمت 3000 دلار در صرافی A انجام دهد، سپس همه آنها را به قیمت 3500 دلار در صرافی B بفروشد و وام 3000 دلاری را پس دهد. در این سناریو، کاربر می تواند 500 دلار منهای کارمزد به جیب بزند.

حملات وام فلش چگونه کار می کنند

وام های فلش به کاربر این امکان را می دهد که با سرمایه صفر هر چقدر که می خواهد وام بگیرد. به عنوان مثال، اگر می خواهید 70000 دلار ETH قرض کنید ، یک پروتکل وام فوراً آن را به شما می دهد، اما این بدان معنا نیست که مال شما است. شما باید کاری با وجوه قرض گرفته شده انجام دهید تا وام را بازپرداخت کنید و شاید مبلغ اضافی را به جیب بزنید.

برای انجام این کار، فرآیند باید سریع اتفاق بیفتد و بدهی باید به موقع به پروتکل بازپرداخت شود، در غیر این صورت تراکنش معکوس خواهد شد.

یک وام دهنده غیرمتمرکز به وثیقه از شما نیاز ندارد زیرا توافق پرداخت بدهی شما توسط یک بلاک چین اجرا می شود . مهاجمان وام های فلش در یافتن راه هایی برای دستکاری بازار در حالی که همچنان قوانین بلاک چین را رعایت می کنند، پیشرفت می کنند.

حمله پنکیک بانی

بیایید دوباره آن اسم حیوان دست اموز و جذابیت کشنده اش برای هکرها را مرور کنیم. جدیدترین حمله وام فلش تا ماه مه 2021 در PancakeBunny رخ داد، یک تجمیع کننده کشاورزی با عملکرد BSC ، که مورد سوء استفاده قرار گرفت که باعث شد توکن آن بیش از 95 درصد ارزش قبلی خود را کاهش دهد.

مهاجم در ابتدا مقدار زیادی BNB را از طریق PancakeSwap قرض گرفت و از آن برای دستکاری قیمت USDT /BNB و BUNNY/BNB در استخرهای PancakeBunny استفاده کرد.

این به هکر اجازه داد تا مقدار زیادی از BUNNY را بدزدد که آنها را در بازار ریخته و باعث سقوط قیمت شد. سپس هکر بدهی خود را از طریق PancakeSwap بازپرداخت کرد.
داده ها حاکی از آن است که هکر توانسته با سودی نزدیک به 3 میلیون دلار از بین برود و پروتکلی خدشه دار به جای بگذارد.

هک پروتکل آلفا هومورا

بزرگترین هک وام فلش در سال 2021 در فوریه گذشته رخ داد ، زمانی که پروتکل Alpha Homora 37 میلیون دلار با استفاده از Iron Bank، پلت فرم وام دهی Cream تخلیه شد. پروتکل کشاورزی با عملکرد اهرمی با یک سری وام های فوری مورد ضربه قرار گرفت.

هکر بارها از Iron Bank از طریق برنامه Alpha Homora وام گرفت و هر بار مقدار وام گرفته شده را دو برابر کرد. این در یک فرآیند دو تراکنش انجام شد که در آن هکر هر بار وجوه را به Iron Bank وام می‌داد که به آنها اجازه می‌داد در ازای دریافت Yearn Synth sUSD (cySUSD) باشند.

سپس، مجرم 1.8 میلیون دلار سکه (USDC) از Aave از طریق وام فوری قرض گرفت و سپس با استفاده از Curve آنها را با sUSD مبادله کرد .

sUSD برای بازپرداخت وام فلش و وام دادن به Iron Bank مورد استفاده قرار گرفت، که به آنها امکان می داد به طور مداوم وام بگیرند و تعداد بیشتری از آنها را وام دهند و هر بار مقدار متناسبی از cySUSD دریافت کنند.

اساساً، هکرها این فرآیند را بارها شستشو داده و تکرار کردند، که به آنها اجازه داد مقادیر زیادی از Creamy cyUSD را که به نوبه خود برای استقراض سایر ارزهای دیجیتال از Iron Bank استفاده می‌کردند، به سرقت ببرند. از این رو، آنها 13K Wrapped Ethereum (WETH) ، 3.6 میلیون USDC، 5.6 میلیون USDT و 4.2 میلیون DAI وام گرفتند .

همانطور که می بینید، فرآیند هک پروتکل آلفا می تواند بسیار پیچیده باشد و نیاز به یک سری مراحل دارد که باید بسیار سریع اتفاق بیفتد، که گواهی بر این است که این مهاجمان تا چه حد مایل به رفتن هستند.

DeFi Yield Farming Aggregator ApeRocket Flash Loan Attack

حمله وام فلش در ژوئیه 2021 روی پلت فرم BSC و فورک Polygon ApeRocket رخ داد که برای کاربران پروتکل 1.26 میلیون دلار هزینه داشت. دو حمله وام فلش به جمع‌آورنده کشاورزی بازدهی DeFi در Aave و PancakeSwap، در عرض چند ساعت از یکدیگر انجام شد.

هکرهای وام فلش مقدار قابل توجهی از وجوه را در AAVE و CAKE قرض گرفتند و 99٪ از وجوه را در خزانه پروتکل ها نگهداری کردند. سپس مبالغ هنگفتی به قرارداد خزانه فرستاده شد که منجر به ضرب تعداد زیادی توکن شد. سپس هکرها اقدام به تخلیه این توکن ها کردند.

این حمله وام فلش باعث می شود توکن بومی ApeRocket، SPACE، 63 درصد از کار بیفتد. پروتکل بیانیه ای رسمی در مورد حمله و برنامه آنها برای جبران غرامت به دارندگان SPACE در اینجا صادر کرد .حملات وام فلش چیست؟

چرا حملات وام فلش در دیفای رایج است؟

وام های فلش طرح هایی کم خطر، کم هزینه و با پاداش بالا هستند که آنها را به ترکیبی خطرناک در ذهن مجرمان تبدیل می کند.

در اینجا دلایل اصلی افزایش حملات وام فلش وجود دارد.

حملات وام‌های فوری ارزان هستند

برخلاف 51 درصد حملاتی که برای انجام آنها به منابع عظیم نیاز دارند، وام های فلش فقط به سه چیز نیاز دارند: رایانه، اتصال به اینترنت و مهمتر از همه، هوشمندی. ظاهراً هکرها باید برنامه ریزی کنند که چگونه حمله می کنند، اما اجرای آن فقط از چند ثانیه تا چند دقیقه طول می کشد. از این رو، نیازی به سرمایه گذاری زیادی در زمان نیز ندارد.

حملات وام های فلش کم خطر هستند

انجام هر گونه فعالیت مجرمانه مستلزم خطر است، اما تصور کنید که یک بانک را بدون نیاز به حضور فیزیکی در بانک سرقت کنید. این به طور خام نقطه نظرات مهاجمان وام فلش را خلاصه می کند. یک سال و نیم گذشته ثابت کرده است که چقدر راحت می توان از دزدی از پروتکل های DeFi خلاص شد.

در واقع، هیچ مهاجم وام فلش تاکنون دستگیر نشده است، حداقل اخیراً. این به این دلیل است که اکثر آنها به دلیل ماهیت شبکه های بدون مجوز و ابزارهای موجود برای مبهم کردن هویت ها مانند Tornado Cash، پس از ناپدید شدن، ردی از خود باقی نمی گذارند.

چگونه از حملات وام فلش جلوگیری کنیم

با توجه به تعداد فزاینده حملات وام فلش در حال حاضر، واضح است که هنوز راه حلی برای همه چیز وجود ندارد. با این حال، اقدامات قابل توجهی وجود دارد که می توان برای مبارزه با این موضوع انجام داد.

از اوراکل های غیرمتمرکز برای داده های قیمت استفاده کنید
بهینه‌ترین راه برای کاهش بردار حمله برای بهره‌برداری‌های وام فلش این است که پلتفرم‌های DeFi از اوراکل‌های قیمت‌گذاری غیرمتمرکز مانند Chainklink و Band Protocol به جای تکیه بر یک DEX منفرد برای خوراک قیمت‌شان استفاده کنند. Alpha Homora قبل از تصمیم به راه‌اندازی Alpha Oracle Aggregator خود در ماه مه گذشته مجبور شد این را به سختی یاد بگیرد .

تراکنش های حیاتی را مجبور کنید از دو بلوک عبور کنند

Dragonfly Research پیشنهاد کرده است که وام‌های فلش را به جای یک بلوک از دو بلوک عبور دهند. با این حال، این یک راه حل کامل نیز نیست، زیرا اگر نادرست طراحی شود، بهره‌بردار به سادگی می‌تواند به هر دو بلوک حمله وام را آغاز کند . علاوه بر این، این می تواند به شدت بر رابط کاربری پروتکل های DeFi تأثیر بگذارد زیرا تراکنش ها دیگر همزمان نخواهند بود.

با استفاده از ابزارهای تشخیص حمله وام فلش

یکی از بزرگترین عواملی که بهره‌برداران را قادر می‌سازد تا از حملات وام‌های فلش خلاص شوند، تاخیر در زمان پاسخ‌دهی از سوی توسعه‌دهندگان پلتفرم‌های DeFi است. و ما نمی توانیم آنها را سرزنش کنیم زیرا شناسایی سوء استفاده ها معمولاً تا زمانی که خیلی دیر نشده است دشوار است.

OpenZeppelin اخیراً برنامه ای به نام OpenZeppelin Defender را راه اندازی کرده است که به مدیران پروژه امکان می دهد سوء استفاده های قرارداد هوشمند و سایر فعالیت های غیرعادی را شناسایی کنند که به آنها امکان می دهد به سرعت پاسخ دهند و حملات را خنثی کنند. طبق پست وبلاگ آنها، این ابزار قبلاً توسط تیم های Synthetix ، Yearn و Opyn یکپارچه شده است .

حملات وام فلش چیست؟

منبع کوین مارکت کپ

عضویت در اینستاگرام ارزجو

عضویت در کانال تلگرام ارزجو