Словник

Атака Flash Loan

Moderate

Атака Flash Loan - це коли зловмисники використовують смарт-контракт.

Що таке Атака Flash Loan?

Атака Flash Loan (атака флеш-позики) - це експлойти децентралізованих фінансів (DeFi), під час яких смарт-контракт, призначений для підтримки надання флеш-кредитів, піддається атаці з метою перекачування активів, що зберігаються у будь-якому конкретному пулі. Під час таких атак, зловмисник відкриває позику, використовує цей позичений капітал для придбання інших активів за допомогою арбітражу та швидко повертає свою позику, забираючи активи, які залишилися з ними протягом усього процесу, як свій прибуток.
Важливо розуміти, що така незахищеність може трапитися лише у межах протоколів DeFi, оскільки вони бездозвольні та повністю керуються смарт-контрактами. Хоча деінтермедіація дає багато переваг, як-от економія коштів та стійкість до цензури, відсутність третьої сторони, яка контролює надання позик без застави, наданих через контракти на швидку позику, робить платформи DeFi сприйнятливими до таких атак.

Цей тип зловмисної діяльності насправді складний і його важко здійснити, але так чи інакше є багато випадків, коли кіберзлочинці досягли успіху в цьому.

Більшість атак flash loan включають використання позикового капіталу для арбітражу активів з інших протоколів DeFi. Наприклад, під час однієї з bZx protocol attack хакер взяв позику з контракту та негайно конвертував її у стейблкоїни. Але оскільки смарт-контракти функціонують лише на основі переданих їм даних, вони можуть бути вразливими до деяких експлойтів. Зловмисник скористався цим, маніпулюючи ціною стейблкоїна sUSD, розмістивши на ньому велике замовлення на покупку, що допомогло підняти ціну стейблкоїна вдвічі вище, ніж вона мала бути. Звідти, він взяв більший кредит, використовуючи sUSD, які обміняв як заставу. Потім він повернув усі ці позики та забрав із собою решту активів як прибуток.

Інша відома атака flash loan сталася раніше на тій же платформі. Зловмисник взяв флеш-кредит на dYdx, який є кредитною програмою DApp, і направив капітал із цієї флеш-позики у Compound та Fulcrum — на Fulcrum, зловмисник шортив ETH проти Wrapped Bitcoin (WBTC), також отримавши позику WBTC у Compound. Не вдаючись у деталі, коли ціна WTBC підскочила через наслідки придбання WBTC Fulcrum, зловмисник перекинув свій WBTC на Uniswap, погасив свій власну позику і втік із залишком ETH.

У травні 2021 року популярний агрегатор прибуткового фармінгу PancakeBunny на базі BNB Chain також зазнав flash loan атаки. Зловмисник позичив велику суму BNB на PancakeBunny, таким чином маніпулюючи ціною BNB проти стейблкоїна Binance USD і токенів Bunny— коли хакер flash loan викинув свій Bunny на ринок, ціна різко впала.