Атака с использованием flash-кредита
Что такое Атака с использованием flash-кредита?
Атака с использованием flash-кредитаЭксплойт DeFi, при котором атакующий в одной транзакции берёт огромный беззалоговый flash-кредит, чтобы манипулировать ценами или управлением и вывести средства до возврата.
Flash-кредиты, популяризованные Aave и dYdX, позволяют заёмщику получить любой объём ликвидности при условии возврата в той же атомарной транзакции. Атакующие связывают flash-кредиты с уязвимыми протоколами, чтобы сдвигать on-chain цены, манипулировать AMM-оракулами, эксплуатировать формулы вознаграждений или захватывать голосования по управлению. Поскольку вся операция выполняется одной транзакцией, риск ограничивается лишь газом, а у атакующего есть возможность комбинировать множество протоколов. Защита: TWAP-цены, оракулы Chainlink, snapshot-голосование, защита от реентрантности и инвариант-тесты. С 2020 года это одна из самых частых категорий эксплойтов DeFi.
● Примеры
- 01
Инциденты с bZx (февраль 2020) использовали манипуляцию оракулом для извлечения около 1 млн USD.
- 02
Атака на Beanstalk Farms (апрель 2022) задействовала flash-кредит на 1 млрд USD для проведения вредоносного предложения и вывода около 182 млн USD.
● Частые вопросы
Что такое Атака с использованием flash-кредита?
Эксплойт DeFi, при котором атакующий в одной транзакции берёт огромный беззалоговый flash-кредит, чтобы манипулировать ценами или управлением и вывести средства до возврата. Относится к категории Web3 и блокчейн в кибербезопасности.
Что означает Атака с использованием flash-кредита?
Эксплойт DeFi, при котором атакующий в одной транзакции берёт огромный беззалоговый flash-кредит, чтобы манипулировать ценами или управлением и вывести средства до возврата.
Как работает Атака с использованием flash-кредита?
Flash-кредиты, популяризованные Aave и dYdX, позволяют заёмщику получить любой объём ликвидности при условии возврата в той же атомарной транзакции. Атакующие связывают flash-кредиты с уязвимыми протоколами, чтобы сдвигать on-chain цены, манипулировать AMM-оракулами, эксплуатировать формулы вознаграждений или захватывать голосования по управлению. Поскольку вся операция выполняется одной транзакцией, риск ограничивается лишь газом, а у атакующего есть возможность комбинировать множество протоколов. Защита: TWAP-цены, оракулы Chainlink, snapshot-голосование, защита от реентрантности и инвариант-тесты. С 2020 года это одна из самых частых категорий эксплойтов DeFi.
Как защититься от Атака с использованием flash-кредита?
Защита от Атака с использованием flash-кредита обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака с использованием flash-кредита?
Распространённые альтернативные названия: Эксплойт flash loan.
● Связанные термины
- web3№ 1056
Безопасность смарт-контрактов
Практика проектирования, проверки и эксплуатации программ on-chain так, чтобы их нельзя было использовать для кражи средств или нарушения бизнес-правил.
- web3№ 765
Манипуляция оракулом
Атака, искажающая цену или поток данных, на которые опирается смарт-контракт, чтобы он принимал неверные решения о кредитах, ликвидациях и расчётах.
- web3№ 910
Атака повторного входа (Reentrancy)
Эксплойт смарт-контракта, в котором внешний вызов позволяет атакующему рекурсивно повторно входить в функцию до обновления состояния и опустошать средства.
- web3№ 675
MEV (Maximal Extractable Value)
Прибыль, которую могут получить блок-билдеры, валидаторы или сорсеры за счёт переупорядочивания, добавления или цензуры транзакций в производимых ими блоках.
- web3№ 1055
Аудит смарт-контрактов
Независимая проверка исходного кода смарт-контракта, конфигурации деплоя и экономической модели перед запуском или обновлением.
- web3№ 106
Безопасность блокчейна
Направление, защищающее распределённые реестры, их механизмы консенсуса, смарт-контракты и связанную инфраструктуру от компрометации, мошенничества и хищений.
● См. также
- № 435Фронтраннинг (блокчейн)
- № 965Sandwich-атака
- № 300DeFi