За последние месяцы несколько платформ DeFi были взломаны с помощью атак с использованием быстрых кредитов. Только в этом месяце взломавший протокол DeFi Value хакер вывел криптоактивы стоимостью $6 млн, а взлом проекта DeFi Akropolis привел к убыткам в размере $2 млн.
Как отметил Назаров в подкасте Decrypt Daily, эти атаки были лишь простейшей вариацией таких взломов. По его словам, самое уязвимое место многих проектов DeFi – ценовые оракулы, которые позволяют смарт-контрактам взаимодействовать с внешними данными.
«Истинная суть атаки заключается в том, что существует единый поставщик ценовых данных, единая биржа. В тех ситуациях, которые мы наблюдаем прямо сейчас в DeFi, часто ради простоты и скорости разработки используются данные внутрисетевых DEX и инфраструктуры бирж внутри сети для получения цен для запуска приложений DeFi», – пояснил Назаров.
Тем не менее, злоумышленник должен иметь значительный капитал, чтобы манипулировать ценами даже на одной бирже. Для этого хакеры пользуются быстрыми кредитами DeFi. Эти механизмы позволяют любому, у кого есть даже небольшое количество активов, получить доступ к большим суммам в течение короткого периода времени.
Таким образом, злоумышленники могут манипулировать ценами на токены в хранилище проекта, искажая данные, предоставляемые оракулом платформы, а также на DEX, откуда он получает эти данные. Затем злоумышленники могут быстро купить резко подешевевшие токены и вскоре после этого погасить быстрый кредит. Опасность этих атак в их простоте и в том, что они не требуют особых технических знаний.
«Злоумышленнику необходимо манипулировать книгой ордеров биржи, а это значит, что им даже не нужно уметь работать с кодом. Все, что нужно – иметь достаточно денег, чтобы манипулировать ценой на бирже, которая считается надежной и безопасной», – отметил Назаров.
При этом получение данных даже с двух или пяти внутрисетевых бирж не защитит платформы DeFi от атак с использованием быстрых кредитов. Назаров предупредил, что это только сделает такие атаки более сложными и дорогостоящими, но все же вполне реальными. Для противодействия таким атакам платформы DeFi должны значительно расширить диапазон получаемых ценовых данных. Тогда манипулировать ценой актива можно будет только искажая его глобальную стоимость.
Напомним, что ранее в этом месяце аналитическая компания CipherTrace сообщила, что убытки от криптовалютного мошенничества снизились в этом году, однако число преступлений в индустрии DeFi выросло.