چگونه از حمله وام سریع یا فلش (Flash Loan Attack) جلوگیری کنیم

از زمان توسعه برنامه‌های مالی غیرمتمرکز (DeFi)، روش مشاهده و استفاده مردم از ارزهای دیجیتال تغییرات زیادی را تجربه کرده است، به ویژه با ظهور پلتفرم‌های مالی مستقل که انواع مختلفی از وام‌های رمزنگاری شده را ارائه می‌دهند. این پلتفرم‌ها به صورت همزمان ارزش زیادی را برای وام‌گیرندگان و وام‌دهندگان به ارمغان می‌آورند. یکی از انواع وام‌هایی که در اکوسیستم DeFi بسیار محبوب شده است، وام سریع یا آنی است. این نوع وام به وام‌گیرندگان اجازه می‌دهد به سرعت از فرصت‌های آربیتراژ بهره‌برداری کنند و با استفاده از وام‌های دریافتی، خرید دارایی‌های رمزنگاری کنند، آن‌ها را بفروشند، وام را بازپرداخت کنند و سود وام را پرداخت کنند.

متأسفانه، هرچند این ایده بسیار خوب کار می‌کند، اما برخی افراد از این نوع وام برای سوءاستفاده استفاده می‌کنند. در ادامه، درباره حمله وام سریع (Flash Loan Attack) و راه‌های جلوگیری از آن صحبت خواهیم کرد.

حمله وام سریع یا حمله وام فلش به سوءاستفاده از امنیت قرارداد هوشمند یک پلتفرم خاص اشاره دارد. در این نوع حمله، مهاجم به طور معمول وجوه زیادی را قرض می‌گیرد بدون اینکه نیاز به وثیقه داشته باشد. سپس قیمت یک دارایی رمزنگاری شده را در یک صرافی تغییر می‌دهد و به سرعت آن را در صرافی دیگر فروخته‌ و سود کسب می‌کند. این فرآیند به سرعت انجام می‌شود و مهاجم قبل از تشخیص و ترک صحنه، چندین بار این عملیات را تکرار می‌کند.

وام سریع به وام‌هایی اشاره دارد که در فضای وام‌دهی DeFi بوجود آمده‌اند و بسیار محبوب شده‌اند. با استفاده از تکنولوژی‌های موجود، وام سریع به صورت جذابی در دنیای وام‌دهی معرفی شده است.

اصطلاح وام سریع به معنای دریافت وام بدون نیاز به وثیقه است. شاید این سوال برایتان پیش بیاید که چگونه این امکان وجود دارد؟ با استفاده از قرارداد هوشمند در یک پلتفرم، فرآیند کامل وام دهی و بازپرداخت در یک تراکنش واحد روی بلاکچین انجام می‌شود.

این به این معناست که وام‌گیرنده باید به سرعت اقدام کند و در مدت زمان کوتاهی وام را بازپرداخت کند. اگر وام‌دهنده به هر دلیلی قصور کند، تمام معامله باطل می‌شود و به نظر می‌رسد هیچ اتفاقی رخ نداده است.

این موضوع اصلی بسیار ساده و کاربردی است. برخلاف وام‌های سنتی و تضمین شده، برای دریافت وام بدون نیاز به وثیقه، امتیاز اعتباری یا مدیریت، هیچ نیازی وجود ندارد. شما می‌توانید در عرض چند ثانیه مقادیر زیادی از استیبل کوین‌ها را دریافت کنید و به همان سرعت از آن‌ها به نفع خودتان استفاده کنید.

این کار توسط برخی از معامله‌گران در پلتفرم‌های DeFi انجام می‌شود. به عنوان مثال، کاربران Aave می‌توانند چنین وام‌هایی را دریافت کنند، از آنها در فرصت‌های آربیتراژ استفاده کنند، آنها را بازپرداخت کنند و سود خود را حفظ کنند.

فرآیند استقراض و وام‌دهی به صورت خودکار انجام می‌شود و هنگامی که همه چیز درست باشد، هم وام‌دهنده و هم وام‌گیرنده از وام سود می‌برند. در صورت بروز هرگونه مشکل، معامله لغو می‌شود و هیچ سودی برای طرفین وجود ندارد.

آیا حملات وام سریع رایج هستند؟

در حال حاضر، با توجه به اینکه این فناوری هنوز در حال تکامل است، حملات وام سریع یا فلش در DeFi رایج هستند. تا کنون، بیش از ۷۰ حمله DeFi برای سرقت مقادیر بزرگ، به میزان حدود ۱.۵ میلیارد دلار انجام شده است. احتمالاً این روند در سال‌های آینده نیز ادامه خواهد داشت، زیرا تضمین امنیت کامل پلتفرم‌ها چالش‌هایی را ایجاد می‌کند.

اولین چالش مربوط به توسعه‌دهندگان در پوشش تمام نقاط ضعف احتمالی بلاکچین است، زیرا این فناوری به تازگی معرفی شده است. یک مشکل دیگر این است که سیستم‌ها به سرعت در حال توسعه هستند و در هر پروژه مقدار زیادی پول درگیر است. ریسک‌ها بسیار بالا هستند و بسیاری از توسعه‌دهندگان روش‌های مختلفی را برای یافتن باگ‌های سیستم امتحان می‌کنند. برخی از مهاجمان در حملات وام سریع از محاسبات نادرست در استخرهای نقدینگی استفاده می‌کنند، در حالی که برخی دیگر از حملات ماینر یا اشتباهات کدگذاری استفاده می‌کنند.

متأسفانه، آنچه که همه چیز را ممکن می‌سازد، ضعف است. چالش قرارداد‌های هوشمند این است که آنها کنترل کاملی بر پروتکل‌های DeFi دارند. زمانی که مهاجمان به دقت جزئیات عملکرد آنها را درک می‌کنند، می‌توانند قراردادها را دستکاری کرده و از آنها به نفع خود استفاده کنند. این به این معناست که امنیت DeFi یک تعادل حساس است: مهارت سازنده قرارداد از یک طرف و مهارت هکر از طرف دیگر.

یک آسیب‌پذیری دیگر مربوط به قیمت‌گذاری داده‌ها در این پلتفرم است. با وجود وجود صرافی‌های بسیاری در سراسر جهان، تعیین قیمت واقعی برای دارایی‌های رمزنگاری شده عملاً غیرممکن است. این تفاوت در قیمت، یک فرصت آربیتراژ تجارتی را جذاب می‌کند. پیگیری بازارها به دلیل نوسانات قانونی قیمت، راهی عالی برای کسب سود است. با این حال، حملات وام فلش، قیمت‌ها را دستکاری کرده و از تغییر ناگهانی در آنها سوء استفاده می‌کند.

وقتی مهاجم وام فلش را دریافت می‌کند، یک فروش مصنوعی ایجاد می‌کند که باعث کاهش شدید قیمت دارایی رمزنگاری شده می‌شود. خوشبختانه، سیستم‌هایی در حال حاضر برای جلوگیری از سوءاستفاده از وام‌های بدون وثیقه وجود دارد.

نمونه‌هایی از حملات وام فلش:

تاکنون، ده‌ها حمله وام سریع رخ داده است و در ادامه تنها برخی از بزرگترین آنها آورده شده است.

Cream Finance:
C.R.E.A.M. Finance در سال 2021 چندین بار هدف حملات قرار گرفته است. یکی از بزرگترین سرقت‌ها، که به مبلغ ۱۳۰ میلیون دلار بود، رخ داد. مجرمان توکن‌های نقدینگی CREAM را به ارزش میلیون‌ها دلار به مدت زمان نامعلومی سرقت بردند. تمام خسارت‌ها در زنجیره قابل رویت است و هنوز مقصران دستگیر نشده‌اند.

خوشبختانه، این آسیب تنها بخشی از سیستم DeFi Cream بود و پلتفرم شریک آن، Yearn Finance، بی‌خطر باقی ماند. مشابه اکثر حملات پروتکل‌های DeFi، مهاجمان از چندین وام سریع استفاده کرده و قیمت‌گذاری اوراکل را دستکاری کرده‌اند. با کمک تیم Yearn، این پلتفرم به سرعت آسیب‌پذیری را برطرف کرد.

Alpha Homora:
در فوریه ۲۰۲۱، حمله به پروتکل Alpha Homora منجر به خسارتی بالغ بر ۳۷ میلیون دلار شد. مهاجم وام سریع نیز از Iron Bank شرکت C.R.E.A.M Finance از طریق یک سری وام سریع استفاده کرده است. Iron Bank، بازوی وام‌دهنده پروتکل Alpha Homora است.

هکرها این فرآیند را چندین بار تکرار کردند تا زمانی که CreamY USD (یا cyUSD) را جمع‌آوری کردند و سپس از توکن‌ها برای قرض گرفتن دیگر رمزارزها استفاده کردند. این حمله بسیار پیچیده بود و شامل مراحل متعددی بود. در اصل، مهاجم مخزن sUSD HomoraBank v2 را دستکاری کرده است.

آنها اقدام به انجام یک سری تراکنش و وام سریع کردند که به آنها امکان سوءاستفاده از پروتکل وام‌دهی بین HomoraBank v2 و Iron Bank را می‌داد.

علاوه بر این، آنها از تغییر قیمت‌ها و دستکاری محاسبات در شرایط حضور یک وام‌گیرنده استفاده کردند.

dYdX:
مواردی وجود دارد که برای بازی با پروتکل‌ها به زمان‌بندی مناسب و دستکاری قیمت‌ها نیاز است. یکی از این موارد سوءاستفاده از dYdX در اوایل سال ۲۰۲۰ بود. مهاجم از این پلتفرم برای دریافت وام‌های سریع استفاده کرد و سپس وجوه را تقسیم کرده و از آنها در دو پلتفرم معاملاتی Fulcrum و Compound استفاده کرد.

در Fulcrum، بخش اول از ETH به WBTC انجام شد. در این فرآیند، شبکه Kyber از طریق DEX Uniswap سفارش را دریافت کرد. نکته مهم اینجاست که استخر نقدینگی پایین Uniswap قیمت WBTC را به طرز قابل توجهی بالا برد.

همزمان، مهاجم از بخش دوم وام در پلتفرم Compound برای دریافت وام فلش WBTC استفاده کرد. با افزایش قابل توجه قیمت در Uniswap، مهاجم به سرعت مبادله را انجام داد و سود غیرقانونی قابل توجهی به دست آورد.

در ماه مه 2021، یک هکر با سرقت نزدیک به 3 میلیون دلار، به پلتفرم PancakeBunny حمله کرد. ابتدا، هکر از PancakeSwap برای دریافت یک وام بزرگ در BNB استفاده کرد. در طول حمله، هکر جفت‌های تجاری BUNNY/BNB و USDT/BNB را دستکاری کرد.

سپس، با استفاده از یک وام فلش بزرگ، هکر تعداد زیادی توکن BUNNY را در اختیار خود قرار داد و سپس آنها را به سرعت فروخت، BNB را بازگرداند و با سود بدست آمده ناپدید شد. این حادثه وحشتناک منجر به کاهش قابل توجه قیمت PancakeBunny از 146 دلار به 6.17 دلار شد.

چگونه می‌توان از حملات وام سریع جلوگیری کرد؟ همانطور که حملات بیشتری رخ می‌دهد، کارشناسان امنیتی بیشتر در مورد سوءاستفاده‌های مختلف وام سریع آموزش می‌بینند. تمام آسیب‌پذیری‌های موجود در مورد حملات فوق اصلاح شده‌اند و وقوع آنها دو راه‌حل محبوب را به وجود آورده است.

با توجه به اینکه بیشتر حملات وام سریع به دستکاری قیمت بستگی دارند، استفاده از اوراکل‌های قیمت گذاری غیرمتمرکز برای مقابله با این رویکرد ضروری است. Chainlink و Band Protocol مثالهای خوبی از این اوراکل‌ها هستند. این پلتفرم‌ها با ارائه قیمت دقیق برای ارزهای دیجیتال مختلف، امنیت تمامی پروتکل‌ها را تضمین می‌کنند.

به عنوان مثال، حملات DeFi مانند آنچه در dYdX اتفاق افتاد، دیگر امکان‌پذیر نخواهند بود، زیرا پروتکل‌ها قیمت خود را از یک DEX دریافت نمی‌کنند.

Alpha Homora در حال حاضر از Alpha Oracle Aggregator استفاده می‌کند تا از تکرار تاریخ جلوگیری کند. با رشد بازار DeFi، ما خواهیم دید که سیستم‌های بیشتری مانند این مورد به وجود می‌آیند.

پیاده‌سازی پلتفرم‌های امنیتی DeFi

اکوسیستم DeFi از فناوری‌های پیشرفته استفاده می‌کند که منظره سیستم‌های مالی بین‌المللی را تغییر می‌دهد. این توجه بزرگ را به چالش‌های امنیتی کل سیستم جلب می‌کند.

خبر خوب این است که در حال حاضر پلتفرم‌های خاصی وجود دارند که با چالش‌های امنیتی فعلی مقابله می‌کنند. OpenZeppelin یک مثال کامل است. نقش آن در اکوسیستم اصلاح و حفاظت از قراردادهای هوشمند و پلتفرم‌های DeFi به طور کلی است. به علاوه، راه‌حل‌هایی مانند Defender Sentinels محافظت مداوم در برابر حملات وام‌های فلش را فراهم می‌کنند. توسعه‌دهندگان می‌توانند از این ابزار برای خودکارسازی استراتژی‌های دفاعی، توقف سریع کل سیستم‌ها و انجام اصلاحات استفاده کنند.

واکنش سریع این نوع برای کاهش آسیب احتمالی که حمله وام سریع می‌تواند به آن وارد کند، ضروری است.

بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای محافظت از سیستم‌های خود در برابر حملات استفاده می‌کنند.

آیا وام‌های سریع بدون ریسک هستند؟ وقتی که همه چیز طبق برنامه پیش می‌رود، وام‌های آنی کاملاً بدون ریسک هستند. وام‌گیرنده و وام‌دهنده تنها در صورت رعایت تمام شرایط قرارداد هوشمند می‌توانند از این معامله بهره‌مند شوند.

از دیدگاه وام‌دهنده، آنها در واقع پولی نمی‌دهند. همه اینها مجرد مصنوعی است و اگر وام‌گیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاکچین می‌شود. اما اگر وام‌گیرنده قصور و کوتاهی کند، معامله به سادگی رد می‌شود و وام‌دهنده هنوز هم مبلغ وام را در اختیار دارد و وام‌گیرنده به کسی بدهکار نمی‌شود.

پیاده‌سازی پلتفرم‌های امنیتی DeFi

اکوسیستم DeFi از فناوری‌های پیشرفته استفاده می‌کند که منظره سیستم‌های مالی بین‌المللی را تغییر می‌دهد. این توجه بزرگ را به چالش‌های امنیتی کل سیستم جلب می‌کند.

خبر خوب این است که در حال حاضر پلتفرم‌های خاصی وجود دارند که با چالش‌های امنیتی فعلی مقابله می‌کنند. یک مثال کامل OpenZeppelin است که نقش آن در اکوسیستم اصلاح و حفاظت از قراردادهای هوشمند و پلتفرم‌های DeFi به طور کلی است. همچنین، راه‌حل‌هایی مانند Defender Sentinels محافظت مداوم در برابر حملات وام‌های فلش را فراهم می‌کنند. توسعه‌دهندگان می‌توانند از این ابزار برای خودکارسازی استراتژی‌های دفاعی، توقف سریع کل سیستم‌ها و انجام اصلاحات استفاده کنند.

واکنش سریع این نوع برای کاهش آسیب احتمالی که حمله وام سریع می‌تواند به آن وارد کند، ضروری است.

بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای محافظت از سیستم‌های خود در برابر حملات استفاده می‌کنند.

آیا وام‌های سریع بدون ریسک هستند؟ وقتی که همه چیز طبق برنامه پیش می‌رود، وام‌های آنی کاملاً بدون ریسک هستند. وام‌گیرنده و وام‌دهنده تنها در صورت رعایت تمام شرایط قرارداد هوشمند می‌توانند از این معامله بهره‌مند شوند.

از دیدگاه وام‌دهنده، آنها در واقع پولی نمی‌دهند. همه اینها مجرد مصنوعی است و اگر وام‌گیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاکچین می‌شود. اما اگر وام‌گیرنده قصور و کوتاهی کند، معامله به سادگی رد می‌شود و وام‌دهنده هنوز هم مبلغ وام را در اختیار دارد و وام‌گیرنده به کسی بدهکار نمی‌شود.

از سوی دیگر، وام‌گیرنده فقط می‌تواند سود داشتدر دسترسی به وام‌ها. آنها می‌توانند با استفاده از مبلغ وام گرفته شده برای بهره‌برداری از فرصت‌های آربیتراژ در بازار کریپتو، سود کسب کنند. در صورتی که معامله به پایان برسد، پول به سادگی به وام‌دهنده بازگردانده می‌شود.

این سیستم وام‌دهی در حالت ایده‌آل، طراحی شده است تا امنیت و سرعت در اختیار کاربران قرار دهد. با این حال، برای اطمینان از اینکه همه چیز بدون ریسک است، قراردادهای هوشمند باید تمام جزئیات معامله را پوشش دهند. به این ترتیب، هیچ حساسیتی برای سوءاستفاده از سوی مهاجمان وجود نخواهد داشت.

بنابراین، هر چند در حال حاضر به نظر می‌رسد که همه چیز عالی نیست، اما با گذشت زمان، این سیستم‌ها در نهایت ایمن خواهند شد. با استفاده از پلتفرم‌هایی مانند Chainlink و OpenZeppelin، حملات وام‌های سریع احتمالا به یادگار خواهند ماند و این اکوسیستم‌ها مقاومت بیشتری خواهند داشت.

وام‌های سریع یا فلش یکی از قابلیت‌های جالب اکوسیستم DeFi است. اما باید توجه داشت که در حال حاضر، این نوع وام‌ها مستعد حملات هستند. با این حال، با پیشرفت قراردادهای هوشمند و استفاده از ابزارهای امنیتی و اوراکل‌های غیرمتمرکز بیشتر، احتمال حملات هکرها کاهش خواهد یافت.

درباره سوال اینکه آیا وام‌های فلش سرمایه‌گذاری خوبی هستند، باید گفت که به نظر می‌رسد پاسخ مثبت است. با این حال، همواره باید به خطرات حملات وام سریع توجه کرد. بنابراین، هنگام استفاده از وام‌های فلش در پلتفرم‌های DeFi، با احتیاط و با بررسی دقیق، از ارزهای دیجیتال خود استفاده کنید.