De acordo com um relatório recente, os ataques de empréstimos rápidos estão aumentando. Quais são eles e quais são os riscos?
Imagine poder fazer um empréstimo de tamanho quase ilimitado sem colocar qualquer garantia. Há apenas um problema. Você tem que pagar de volta quase instantaneamente. Parece estranho? Provavelmente sim. Mas é exatamente isso que é um empréstimo rápido. Como o nome sugere, esses empréstimos ocorrem quase instantaneamente. (Pense no super-herói da DC Comic, The Flash, que pode viajar na velocidade da luz.)
Um relatório recente da De.Fi sugere que os empréstimos rápidos estão aumentando e os malfeitores fazem uso deles em um número crescente de exploits. No primeiro trimestre deste ano, US$ 1 milhões foram perdidos por meio desse tipo de exploração.
Mas por que alguém iria querer fazer um empréstimo quase instantâneo? Bem, como muitas coisas em criptografia, tudo se resume a bons retornos.
Empréstimos Flash e Ataques de Empréstimos Flash Explicados
A lógica dos empréstimos rápidos depende da arbitragem, o processo de aproveitar pequenas diferenças de preço. Ao contrário de outros tipos de empréstimos, os empréstimos rápidos não exigem um longo processo de aprovação, portanto, podem ser executados rapidamente. “Dadas as baixas taxas envolvidas no empréstimo de uma transação, há um enorme potencial para altos retornos”, explicou Artem Bondarenko, arquiteto de software da De.Fi, em entrevista ao BeInCrypto. “Para os credores de um empréstimo rápido, não há riscos, pois o empréstimo é devolvido imediatamente. Caso contrário, a transação falhará.”
Nas finanças tradicionais, não há nada exatamente como um empréstimo instantâneo. É semelhante a uma opção de compra, mas com algumas diferenças significativas. Com um empréstimo rápido, você pode usar o dinheiro emprestado imediatamente, enquanto com uma opção de compra, você precisa esperar. Além disso, nas finanças tradicionais, as transações geralmente acontecem uma de cada vez, enquanto nos empréstimos rápidos elas acontecem em blocos. No entanto, esses instrumentos de curto prazo não são totalmente isentos de desvantagens, como descreve o relatório da De.Fi.
“Um ataque de empréstimo rápido ocorre quando alguém consegue emprestar uma quantia enorme em um lugar e usá-lo para manipular preços comprando ou vendendo em grandes quantidades, influenciando assim o preço de um ativo”, disse Bondarenko. “Em seguida, usando essa mudança no preço para explorar a compra ou venda oposta do outro lado, criando arbitragem entre os preços nos dois lugares, pagando o empréstimo original e embolsando a diferença.”
“Se o protocolo de liquidez for projetado adequadamente com os oráculos de precificação corretos, isso não deve ser um problema, mas nos casos em que o design é ruim, é uma vulnerabilidade que pode ser explorada e levar a um evento de liquidação em massa”, acrescentou Bondarenko.
Quem são as vítimas?
Os empréstimos em flash são atraentes para os invasores porque permitem o empréstimo de grandes somas de criptomoedas sem fornecer garantias. Para evitar tais ataques, podem ser implementadas melhores medidas de segurança, como auditorias de código e design robusto de contrato inteligente, e a conscientização sobre possíveis vetores de ataque pode ser aumentada no ecossistema DeFi.
Em 13 de março, o Euler Finance, um conhecido protocolo de empréstimo baseado em Ethereum, foi hackeado e o invasor roubou milhões de dólares em diferentes criptomoedas, como Dai, USDC, Staked Ethereum e Wrapped Bitcoin, executando várias transações.
O valor total roubado foi de quase US$ 196 milhões, sendo US$ 8.7 milhões em Dai, US$ 18.5 milhões em WBTC, US$ 135.8 milhões em StETH e US$ 33.8 milhões em USDC.
O invasor transferiu os fundos roubados da Binance Smart Chain para a Ethereum usando uma ponte multichain e, em seguida, conduziu o ataque de empréstimo instantâneo. Eles depositaram os fundos roubados no Tornado Cash, um conhecido misturador de criptomoedas, para complicar os esforços de recuperação e ocultar sua identidade.
No mês anterior, em 16 de fevereiro, a Platypus Finance, uma criadora de mercado automatizada, sofreu um ataque separado de empréstimos rápidos. O invasor roubou US$ 8,500,887 em stablecoins, incluindo USDC, USDT, BUSD e DAI.
Nesse caso, o invasor aproveitou uma vulnerabilidade no mecanismo de verificação de solvência da USP. No processo, o invasor garantiu um empréstimo rápido de 44,000,000 USDC e o trocou por 44,000,000 Platypus LP-USD. Eles então cunharam 41,700,000 tokens USP sem custo, que foram trocados por várias stablecoins.
A Platypus Finance tem colaborado com serviços terceirizados para congelar os ativos roubados, e alguns já foram congelados. O contrato malicioso foi removido e medidas de segurança adicionais foram implementadas para evitar ataques futuros. No entanto, o invasor conseguiu transferir parte dos fundos roubados.
Como reduzir os riscos?
De certa forma, os Empréstimos Flash são um dos grandes equalizadores das criptomoedas. Eles permitem que os comerciantes com menos capital se envolvam em negócios de alta recompensa que normalmente seriam abertos apenas para as chamadas baleias. “Mas, como vimos várias vezes, os empréstimos instantâneos também representam um grande risco para os protocolos DeFi que não levam em conta essas coisas”, disse Adrian Hetman, líder técnico da equipe de triagem da Immunefi, ao BeInCrypto.
“Os protocolos não devem se proteger apenas contra possíveis ataques de empréstimo rápido, mas também contra ataques de baleias, ou seja, o que aconteceria se grandes players repentinamente usassem seus enormes fundos para usar nosso protocolo? O sistema se comportaria como pretendido? Qual é o nosso fluxo de negócios 'pretendido'?” Hetman continuou. “A modelagem de ameaças ajudaria a revelar possíveis fraquezas do sistema.”
“Usando o preço médio ponderado pelo tempo (TWAP), os oráculos podem ajudar a minimizar a manipulação de preços calculando a média dos preços em um período de tempo específico, tornando mais difícil para os invasores manipular os preços em uma única transação. Além disso, a implementação de sistemas multi-oráculo pode fornecer redundância e verificação cruzada de dados de preço, fortalecendo ainda mais as defesas contra manipulação”, acrescentou Hetman.
Ao implementar os disjuntores, os invasores de empréstimos instantâneos podem ser impedidos de lucrar com os preços manipulados quando são detectadas oscilações significativas de preços, explicou Hetman. “Assim que a causa da oscilação de preço for identificada e tratada, a negociação poderá ser retomada. Isso precisa incluir negociações válidas em potencial que podem parecer suspeitas do lado de fora.”
“Também é importante não permitir que grandes ações de protocolo ocorram em apenas um bloco. Empréstimos rápidos, na maioria das vezes, só podem ser feitos em uma transação para um bloco”, acrescentou Hetman.
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/flash-loans-the-instant-mega-loans-undermining-the-crypto-market/