عناوینی که در این مقاله می خوانید
از زمان توسعه برنامههای مالی غیرمتمرکز (DeFi)، روش مشاهده و استفاده مردم از ارزهای دیجیتال تغییرات زیادی را تجربه کرده است، به ویژه با ظهور پلتفرمهای مالی مستقل که انواع مختلفی از وامهای رمزنگاری شده را ارائه میدهند. این پلتفرمها به صورت همزمان ارزش زیادی را برای وامگیرندگان و وامدهندگان به ارمغان میآورند. یکی از انواع وامهایی که در اکوسیستم DeFi بسیار محبوب شده است، وام سریع یا آنی است. این نوع وام به وامگیرندگان اجازه میدهد به سرعت از فرصتهای آربیتراژ بهرهبرداری کنند و با استفاده از وامهای دریافتی، خرید داراییهای رمزنگاری کنند، آنها را بفروشند، وام را بازپرداخت کنند و سود وام را پرداخت کنند.
متأسفانه، هرچند این ایده بسیار خوب کار میکند، اما برخی افراد از این نوع وام برای سوءاستفاده استفاده میکنند. در ادامه، درباره حمله وام سریع (Flash Loan Attack) و راههای جلوگیری از آن صحبت خواهیم کرد.
حمله وام سریع یا حمله وام فلش به سوءاستفاده از امنیت قرارداد هوشمند یک پلتفرم خاص اشاره دارد. در این نوع حمله، مهاجم به طور معمول وجوه زیادی را قرض میگیرد بدون اینکه نیاز به وثیقه داشته باشد. سپس قیمت یک دارایی رمزنگاری شده را در یک صرافی تغییر میدهد و به سرعت آن را در صرافی دیگر فروخته و سود کسب میکند. این فرآیند به سرعت انجام میشود و مهاجم قبل از تشخیص و ترک صحنه، چندین بار این عملیات را تکرار میکند.
وام سریع به وامهایی اشاره دارد که در فضای وامدهی DeFi بوجود آمدهاند و بسیار محبوب شدهاند. با استفاده از تکنولوژیهای موجود، وام سریع به صورت جذابی در دنیای وامدهی معرفی شده است.
اصطلاح وام سریع به معنای دریافت وام بدون نیاز به وثیقه است. شاید این سوال برایتان پیش بیاید که چگونه این امکان وجود دارد؟ با استفاده از قرارداد هوشمند در یک پلتفرم، فرآیند کامل وام دهی و بازپرداخت در یک تراکنش واحد روی بلاکچین انجام میشود.
این به این معناست که وامگیرنده باید به سرعت اقدام کند و در مدت زمان کوتاهی وام را بازپرداخت کند. اگر وامدهنده به هر دلیلی قصور کند، تمام معامله باطل میشود و به نظر میرسد هیچ اتفاقی رخ نداده است.
این موضوع اصلی بسیار ساده و کاربردی است. برخلاف وامهای سنتی و تضمین شده، برای دریافت وام بدون نیاز به وثیقه، امتیاز اعتباری یا مدیریت، هیچ نیازی وجود ندارد. شما میتوانید در عرض چند ثانیه مقادیر زیادی از استیبل کوینها را دریافت کنید و به همان سرعت از آنها به نفع خودتان استفاده کنید.
این کار توسط برخی از معاملهگران در پلتفرمهای DeFi انجام میشود. به عنوان مثال، کاربران Aave میتوانند چنین وامهایی را دریافت کنند، از آنها در فرصتهای آربیتراژ استفاده کنند، آنها را بازپرداخت کنند و سود خود را حفظ کنند.
فرآیند استقراض و وامدهی به صورت خودکار انجام میشود و هنگامی که همه چیز درست باشد، هم وامدهنده و هم وامگیرنده از وام سود میبرند. در صورت بروز هرگونه مشکل، معامله لغو میشود و هیچ سودی برای طرفین وجود ندارد.
آیا حملات وام سریع رایج هستند؟
در حال حاضر، با توجه به اینکه این فناوری هنوز در حال تکامل است، حملات وام سریع یا فلش در DeFi رایج هستند. تا کنون، بیش از ۷۰ حمله DeFi برای سرقت مقادیر بزرگ، به میزان حدود ۱.۵ میلیارد دلار انجام شده است. احتمالاً این روند در سالهای آینده نیز ادامه خواهد داشت، زیرا تضمین امنیت کامل پلتفرمها چالشهایی را ایجاد میکند.
اولین چالش مربوط به توسعهدهندگان در پوشش تمام نقاط ضعف احتمالی بلاکچین است، زیرا این فناوری به تازگی معرفی شده است. یک مشکل دیگر این است که سیستمها به سرعت در حال توسعه هستند و در هر پروژه مقدار زیادی پول درگیر است. ریسکها بسیار بالا هستند و بسیاری از توسعهدهندگان روشهای مختلفی را برای یافتن باگهای سیستم امتحان میکنند. برخی از مهاجمان در حملات وام سریع از محاسبات نادرست در استخرهای نقدینگی استفاده میکنند، در حالی که برخی دیگر از حملات ماینر یا اشتباهات کدگذاری استفاده میکنند.
متأسفانه، آنچه که همه چیز را ممکن میسازد، ضعف است. چالش قراردادهای هوشمند این است که آنها کنترل کاملی بر پروتکلهای DeFi دارند. زمانی که مهاجمان به دقت جزئیات عملکرد آنها را درک میکنند، میتوانند قراردادها را دستکاری کرده و از آنها به نفع خود استفاده کنند. این به این معناست که امنیت DeFi یک تعادل حساس است: مهارت سازنده قرارداد از یک طرف و مهارت هکر از طرف دیگر.
یک آسیبپذیری دیگر مربوط به قیمتگذاری دادهها در این پلتفرم است. با وجود وجود صرافیهای بسیاری در سراسر جهان، تعیین قیمت واقعی برای داراییهای رمزنگاری شده عملاً غیرممکن است. این تفاوت در قیمت، یک فرصت آربیتراژ تجارتی را جذاب میکند. پیگیری بازارها به دلیل نوسانات قانونی قیمت، راهی عالی برای کسب سود است. با این حال، حملات وام فلش، قیمتها را دستکاری کرده و از تغییر ناگهانی در آنها سوء استفاده میکند.
وقتی مهاجم وام فلش را دریافت میکند، یک فروش مصنوعی ایجاد میکند که باعث کاهش شدید قیمت دارایی رمزنگاری شده میشود. خوشبختانه، سیستمهایی در حال حاضر برای جلوگیری از سوءاستفاده از وامهای بدون وثیقه وجود دارد.
نمونههایی از حملات وام فلش:
تاکنون، دهها حمله وام سریع رخ داده است و در ادامه تنها برخی از بزرگترین آنها آورده شده است.
Cream Finance:
C.R.E.A.M. Finance در سال 2021 چندین بار هدف حملات قرار گرفته است. یکی از بزرگترین سرقتها، که به مبلغ ۱۳۰ میلیون دلار بود، رخ داد. مجرمان توکنهای نقدینگی CREAM را به ارزش میلیونها دلار به مدت زمان نامعلومی سرقت بردند. تمام خسارتها در زنجیره قابل رویت است و هنوز مقصران دستگیر نشدهاند.
خوشبختانه، این آسیب تنها بخشی از سیستم DeFi Cream بود و پلتفرم شریک آن، Yearn Finance، بیخطر باقی ماند. مشابه اکثر حملات پروتکلهای DeFi، مهاجمان از چندین وام سریع استفاده کرده و قیمتگذاری اوراکل را دستکاری کردهاند. با کمک تیم Yearn، این پلتفرم به سرعت آسیبپذیری را برطرف کرد.
Alpha Homora:
در فوریه ۲۰۲۱، حمله به پروتکل Alpha Homora منجر به خسارتی بالغ بر ۳۷ میلیون دلار شد. مهاجم وام سریع نیز از Iron Bank شرکت C.R.E.A.M Finance از طریق یک سری وام سریع استفاده کرده است. Iron Bank، بازوی وامدهنده پروتکل Alpha Homora است.
هکرها این فرآیند را چندین بار تکرار کردند تا زمانی که CreamY USD (یا cyUSD) را جمعآوری کردند و سپس از توکنها برای قرض گرفتن دیگر رمزارزها استفاده کردند. این حمله بسیار پیچیده بود و شامل مراحل متعددی بود. در اصل، مهاجم مخزن sUSD HomoraBank v2 را دستکاری کرده است.
آنها اقدام به انجام یک سری تراکنش و وام سریع کردند که به آنها امکان سوءاستفاده از پروتکل وامدهی بین HomoraBank v2 و Iron Bank را میداد.
علاوه بر این، آنها از تغییر قیمتها و دستکاری محاسبات در شرایط حضور یک وامگیرنده استفاده کردند.
dYdX:
مواردی وجود دارد که برای بازی با پروتکلها به زمانبندی مناسب و دستکاری قیمتها نیاز است. یکی از این موارد سوءاستفاده از dYdX در اوایل سال ۲۰۲۰ بود. مهاجم از این پلتفرم برای دریافت وامهای سریع استفاده کرد و سپس وجوه را تقسیم کرده و از آنها در دو پلتفرم معاملاتی Fulcrum و Compound استفاده کرد.
در Fulcrum، بخش اول از ETH به WBTC انجام شد. در این فرآیند، شبکه Kyber از طریق DEX Uniswap سفارش را دریافت کرد. نکته مهم اینجاست که استخر نقدینگی پایین Uniswap قیمت WBTC را به طرز قابل توجهی بالا برد.
همزمان، مهاجم از بخش دوم وام در پلتفرم Compound برای دریافت وام فلش WBTC استفاده کرد. با افزایش قابل توجه قیمت در Uniswap، مهاجم به سرعت مبادله را انجام داد و سود غیرقانونی قابل توجهی به دست آورد.
در ماه مه 2021، یک هکر با سرقت نزدیک به 3 میلیون دلار، به پلتفرم PancakeBunny حمله کرد. ابتدا، هکر از PancakeSwap برای دریافت یک وام بزرگ در BNB استفاده کرد. در طول حمله، هکر جفتهای تجاری BUNNY/BNB و USDT/BNB را دستکاری کرد.
سپس، با استفاده از یک وام فلش بزرگ، هکر تعداد زیادی توکن BUNNY را در اختیار خود قرار داد و سپس آنها را به سرعت فروخت، BNB را بازگرداند و با سود بدست آمده ناپدید شد. این حادثه وحشتناک منجر به کاهش قابل توجه قیمت PancakeBunny از 146 دلار به 6.17 دلار شد.
چگونه میتوان از حملات وام سریع جلوگیری کرد؟ همانطور که حملات بیشتری رخ میدهد، کارشناسان امنیتی بیشتر در مورد سوءاستفادههای مختلف وام سریع آموزش میبینند. تمام آسیبپذیریهای موجود در مورد حملات فوق اصلاح شدهاند و وقوع آنها دو راهحل محبوب را به وجود آورده است.
با توجه به اینکه بیشتر حملات وام سریع به دستکاری قیمت بستگی دارند، استفاده از اوراکلهای قیمت گذاری غیرمتمرکز برای مقابله با این رویکرد ضروری است. Chainlink و Band Protocol مثالهای خوبی از این اوراکلها هستند. این پلتفرمها با ارائه قیمت دقیق برای ارزهای دیجیتال مختلف، امنیت تمامی پروتکلها را تضمین میکنند.
به عنوان مثال، حملات DeFi مانند آنچه در dYdX اتفاق افتاد، دیگر امکانپذیر نخواهند بود، زیرا پروتکلها قیمت خود را از یک DEX دریافت نمیکنند.
Alpha Homora در حال حاضر از Alpha Oracle Aggregator استفاده میکند تا از تکرار تاریخ جلوگیری کند. با رشد بازار DeFi، ما خواهیم دید که سیستمهای بیشتری مانند این مورد به وجود میآیند.
پیادهسازی پلتفرمهای امنیتی DeFi
اکوسیستم DeFi از فناوریهای پیشرفته استفاده میکند که منظره سیستمهای مالی بینالمللی را تغییر میدهد. این توجه بزرگ را به چالشهای امنیتی کل سیستم جلب میکند.
خبر خوب این است که در حال حاضر پلتفرمهای خاصی وجود دارند که با چالشهای امنیتی فعلی مقابله میکنند. OpenZeppelin یک مثال کامل است. نقش آن در اکوسیستم اصلاح و حفاظت از قراردادهای هوشمند و پلتفرمهای DeFi به طور کلی است. به علاوه، راهحلهایی مانند Defender Sentinels محافظت مداوم در برابر حملات وامهای فلش را فراهم میکنند. توسعهدهندگان میتوانند از این ابزار برای خودکارسازی استراتژیهای دفاعی، توقف سریع کل سیستمها و انجام اصلاحات استفاده کنند.
واکنش سریع این نوع برای کاهش آسیب احتمالی که حمله وام سریع میتواند به آن وارد کند، ضروری است.
بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای محافظت از سیستمهای خود در برابر حملات استفاده میکنند.
آیا وامهای سریع بدون ریسک هستند؟ وقتی که همه چیز طبق برنامه پیش میرود، وامهای آنی کاملاً بدون ریسک هستند. وامگیرنده و وامدهنده تنها در صورت رعایت تمام شرایط قرارداد هوشمند میتوانند از این معامله بهرهمند شوند.
از دیدگاه وامدهنده، آنها در واقع پولی نمیدهند. همه اینها مجرد مصنوعی است و اگر وامگیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاکچین میشود. اما اگر وامگیرنده قصور و کوتاهی کند، معامله به سادگی رد میشود و وامدهنده هنوز هم مبلغ وام را در اختیار دارد و وامگیرنده به کسی بدهکار نمیشود.
پیادهسازی پلتفرمهای امنیتی DeFi
اکوسیستم DeFi از فناوریهای پیشرفته استفاده میکند که منظره سیستمهای مالی بینالمللی را تغییر میدهد. این توجه بزرگ را به چالشهای امنیتی کل سیستم جلب میکند.
خبر خوب این است که در حال حاضر پلتفرمهای خاصی وجود دارند که با چالشهای امنیتی فعلی مقابله میکنند. یک مثال کامل OpenZeppelin است که نقش آن در اکوسیستم اصلاح و حفاظت از قراردادهای هوشمند و پلتفرمهای DeFi به طور کلی است. همچنین، راهحلهایی مانند Defender Sentinels محافظت مداوم در برابر حملات وامهای فلش را فراهم میکنند. توسعهدهندگان میتوانند از این ابزار برای خودکارسازی استراتژیهای دفاعی، توقف سریع کل سیستمها و انجام اصلاحات استفاده کنند.
واکنش سریع این نوع برای کاهش آسیب احتمالی که حمله وام سریع میتواند به آن وارد کند، ضروری است.
بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای محافظت از سیستمهای خود در برابر حملات استفاده میکنند.
آیا وامهای سریع بدون ریسک هستند؟ وقتی که همه چیز طبق برنامه پیش میرود، وامهای آنی کاملاً بدون ریسک هستند. وامگیرنده و وامدهنده تنها در صورت رعایت تمام شرایط قرارداد هوشمند میتوانند از این معامله بهرهمند شوند.
از دیدگاه وامدهنده، آنها در واقع پولی نمیدهند. همه اینها مجرد مصنوعی است و اگر وامگیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاکچین میشود. اما اگر وامگیرنده قصور و کوتاهی کند، معامله به سادگی رد میشود و وامدهنده هنوز هم مبلغ وام را در اختیار دارد و وامگیرنده به کسی بدهکار نمیشود.
از سوی دیگر، وامگیرنده فقط میتواند سود داشتدر دسترسی به وامها. آنها میتوانند با استفاده از مبلغ وام گرفته شده برای بهرهبرداری از فرصتهای آربیتراژ در بازار کریپتو، سود کسب کنند. در صورتی که معامله به پایان برسد، پول به سادگی به وامدهنده بازگردانده میشود.
این سیستم وامدهی در حالت ایدهآل، طراحی شده است تا امنیت و سرعت در اختیار کاربران قرار دهد. با این حال، برای اطمینان از اینکه همه چیز بدون ریسک است، قراردادهای هوشمند باید تمام جزئیات معامله را پوشش دهند. به این ترتیب، هیچ حساسیتی برای سوءاستفاده از سوی مهاجمان وجود نخواهد داشت.
بنابراین، هر چند در حال حاضر به نظر میرسد که همه چیز عالی نیست، اما با گذشت زمان، این سیستمها در نهایت ایمن خواهند شد. با استفاده از پلتفرمهایی مانند Chainlink و OpenZeppelin، حملات وامهای سریع احتمالا به یادگار خواهند ماند و این اکوسیستمها مقاومت بیشتری خواهند داشت.
وامهای سریع یا فلش یکی از قابلیتهای جالب اکوسیستم DeFi است. اما باید توجه داشت که در حال حاضر، این نوع وامها مستعد حملات هستند. با این حال، با پیشرفت قراردادهای هوشمند و استفاده از ابزارهای امنیتی و اوراکلهای غیرمتمرکز بیشتر، احتمال حملات هکرها کاهش خواهد یافت.
درباره سوال اینکه آیا وامهای فلش سرمایهگذاری خوبی هستند، باید گفت که به نظر میرسد پاسخ مثبت است. با این حال، همواره باید به خطرات حملات وام سریع توجه کرد. بنابراین، هنگام استفاده از وامهای فلش در پلتفرمهای DeFi، با احتیاط و با بررسی دقیق، از ارزهای دیجیتال خود استفاده کنید.
نظرات کاربران