Атака Flash Loan

Атака Flash Loan (атака флеш-позики) - це експлойти децентралізованих фінансів (DeFi), під час яких смарт-контракт, призначений для підтримки надання флеш-кредитів, піддається атаці з метою перекачування активів, що зберігаються у будь-якому конкретному пулі. Під час таких атак, зловмисник відкриває позику, використовує цей позичений капітал для придбання інших активів за допомогою арбітражу та швидко повертає свою позику, забираючи активи, які залишилися з ними протягом усього процесу, як свій прибуток.

Важливо розуміти, що така незахищеність може трапитися лише у межах протоколів DeFi, оскільки вони бездозвольні та повністю керуються смарт-контрактами. Хоча деінтермедіація дає багато переваг, як-от економія коштів та стійкість до цензури, відсутність третьої сторони, яка контролює надання позик без застави, наданих через контракти на швидку позику, робить платформи DeFi сприйнятливими до таких атак.

Більшість атак flash loan включають використання позикового капіталу для арбітражу активів з інших протоколів DeFi. Наприклад, під час однієї з bZx protocol attack хакер взяв позику з контракту та негайно конвертував її у стейблкоїни. Але оскільки смарт-контракти функціонують лише на основі переданих їм даних, вони можуть бути вразливими до деяких експлойтів. Зловмисник скористався цим, маніпулюючи ціною стейблкоїна sUSD, розмістивши на ньому велике замовлення на покупку, що допомогло підняти ціну стейблкоїна вдвічі вище, ніж вона мала бути. Звідти, він взяв більший кредит, використовуючи sUSD, які обміняв як заставу. Потім він повернув усі ці позики та забрав із собою решту активів як прибуток.

У травні 2021 року популярний агрегатор прибуткового фармінгу PancakeBunny на базі BNB Chain також зазнав flash loan атаки. Зловмисник позичив велику суму BNB на PancakeBunny, таким чином маніпулюючи ціною BNB проти стейблкоїна Binance USD і токенів Bunny— коли хакер flash loan викинув свій Bunny на ринок, ціна різко впала.