حمله وام سریع (Flash Loan Attack) چیست + نحوه جلوگیری از آن

زمان مطالعه 7 دقیقه
دسته بندی اصطلاحات بازار ارز دیجیتال
سطح آموزش پیشرفته
تاریخ انتشار ۶ اسفند ۱۴۰۱

نحوه مشاهده و استفاده مردم از ارزهای دیجیتال از زمان توسعه برنامه های مالی غیرمتمرکز (DeFi) تغییر زیادی کرده است، به ویژه با پلتفرم های مالی مستقل که انواع مختلفی از وام های رمزنگاری شده را ارائه می دهند، که به نوبه خود ارزش زیادی را هم برای وام گیرندگان و هم برای وام دهندگان فراهم می کند. یکی از انواع وام ‌هایی که در اکوسیستم DeFI محبوبیت زیادی پیدا کرده است، وام سریع یا آنی است زیرا به وام‌ گیرندگان اجازه می‌ دهد تا به سرعت از فرصت‌ های آربیتراژ بهره ببرند. وجوه قرض ‌گرفته‌ شده را برای خرید یک دارایی رمزنگاری، فروش آن، بازپرداخت وام و پرداخت سود وام فراهم می‌کند. متأسفانه، در حالی که این ایده یک ایده عالی است و به خوبی کار می کند، کسانی هستند که از این شکل وام سوءاستفاده می کنند. تا انتهای مطلب با ما همراه باشید تا درباره اینکه حمله وام سریع (Flash Loan Attack) چیست و نحوه جلوگیری از آنها بیشتر بدانید.

حمله وام سریع یا حمله وام فلش چیست؟

حمله وام سریع سوءاستفاده از امنیت قرارداد هوشمند یک پلتفرم خاص است که در آن مهاجم معمولاً وجوه زیادی را که نیاز به وثیقه ندارد قرض می‌ کند. سپس قیمت یک دارایی کریپتو را در یک صرافی دستکاری می ‌کنند و به سرعت آن را در صرافی دیگر می ‌فروشند. این فرآیند سریع است و مهاجم قبل از اتمام و ترک کردن صحنه بدون هیچ ردی، چندین بار فرآیند را تکرار می کند.

وام سریع چیست؟

وام سریع یا فلش چیست؟

توسعه فضای وام دهی DeFi توانسته وام دهی کریپتو را بسیار محبوب نماید. از آنجایی که وام‌ های سریع از تمام قدرت فناوری‌ های موجود استفاده می ‌کنند، به شکل بسیار جذابی از وام‌ دهی تبدیل شده ‌اند.

اصطلاح وام سریع، زمانی را توصیف می کند که وام گیرنده بدون نیاز به وثیقه وام می گیرد. ممکن است تعجب کنید که چگونه این امکان وجود دارد؟ با استفاده از قرارداد هوشمند یک پلتفرم، کل فرآیند وام دهی و بازگشت در یک تراکنش واحد روی بلاک چین انجام می شود.

این بدان معناست که وام گیرنده باید سریعا اقدام کند و در مدت کوتاهی وام را برگرداند. اگر وام دهنده به هر نحوی قصور کند، کل معامله باطل می شود انگار که اصلاً اتفاقی نیفتاده است.

اصل موضوع ساده و بسیار کاربردی است. برخلاف وام‌ های سنتی و تضمین شده، برای پردازش وام بدون وثیقه نیازی به وثیقه، امتیاز اعتباری یا مدیریت ندارید. شما می توانید در عرض چند ثانیه مقادیر زیادی از استیبل کوین را بدست آورید و به همان سرعت از آن به نفع خود استفاده کنید.

این کاری است که برخی از معامله گران در پلتفرم های مختلف DeFi انجام می دهند. به عنوان مثال، کاربران Aave می توانند چنین وام هایی را دریافت کنند، از وجوه در یک فرصت آربیتراژ استفاده کنند، وام را پس دهند و سود را حفظ کنند.

فرآیند استقراض و وام دهی خودکار است و وقتی همه چیز درست شد، هم وام دهنده و هم وام گیرنده از وام سود می برند. اگر مشکلی پیش بیاید، معامله لغو می شود و هیچ سودی برای هیچ یک از طرفین وجود ندارد.

آیا حملات وام سریع رایج است؟

آیا حمله وام سریع رایج است؟

با توجه به اینکه این فناوری هنوز در حال تکامل است، حمله وام سریع یا فلش DeFi در حال حاضر رایج است. اکنون، بیش از 70 سواستفاده DeFi برای سرقت مبالغ هنگفت، به میزان حدود 1.5 میلیارد دلار استفاده شده است. این روند احتمالاً در سال ‌های آینده نیز ادامه خواهد داشت، زیرا غیرقابل نفوذ کردن امنیت یک پلتفرم یک کار چالش برانگیز است.

اولین چالش به ناتوانی توسعه دهنده در پوشش تمام نقاط ضعف احتمالی مربوط می شود، زیرا فناوری بلاک چین نسبتاً جدید است. مشکل دیگر این است که سیستم ها به سرعت توسعه می یابند و پول زیادی در هر یک از این پروژه ها وجود دارد. ریسک ها زیاد بوده و بسیاری از توسعه دهندگان روش های مختلفی را برای یافتن باگ های سیستم امتحان می کنند. برخی از مهاجمان حمله وام سریع از محاسبات نادرست استخرهای نقدینگی استفاده می کنند. برخی دیگر حملات ماینر یا اشتباهات کدگذاری هستند.

متأسفانه آن چیزی که همه چیز را ممکن می کند، ضعف است. چالش قراردادهای هوشمند این است که آنها کنترل کاملی بر پروتکل های DeFi دارند. هنگامی که مهاجمان با جزئیات دقیق نحوه عملکرد آنها را درک کنند، می توانند کاستی های قرارداد را دستکاری کرده و از آنها به نفع خود استفاده کنند. این بدان معناست که امنیت DeFi یک تعادل ظریف است: مهارت سازنده قرارداد از یک طرف و مهارت هکر از طرف دیگر.

آسیب پذیری دیگر، مربوط به داده های قیمت گذاری این پلتفرم است. از آنجایی که صرافی های زیادی در سراسر جهان وجود دارد، یافتن یک قیمت واقعی برای دارایی های دیجیتال کریپتو عملا غیرممکن است. این تفاوت در قیمت چیزی است که تجارت آربیتراژ را جذاب می کند. دنبال کردن بازارها به دلیل نوسانات قانونی قیمت، راهی عالی برای کسب سود است. با این حال، حمله وام سریع، قیمت ها را دستکاری کرده و از تغییر ناگهانی در آنها سوء استفاده می کند.

هنگامی که مهاجم وام فلش را دریافت می کند، یک فروش مصنوعی ایجاد می کند که باعث کاهش شدید قیمت دارایی رمزنگاری می شود. خوشبختانه، سیستم هایی در حال حاضر برای جلوگیری از سوء استفاده از وام های بدون وثیقه وجود دارد.

نمونه های حمله وام فلش

نمونه هایی از حمله وام سریع

تاکنون ده ها مورد حمله وام سریع رخ داده است. در اینجا فقط برخی از بزرگترین آنها آورده شده است.

Cream Finance

C.R.E.A.M.فایننس بارها در سال 2021 مورد حمله قرار گرفته است. یکی از بزرگترین سرقت ها 130 میلیون دلار بود. مجرمان، توکن‌ های نقدینگی CREAM را به ارزش میلیون ‌ها دلار در مدت زمان نامعلومی به سرقت بردند. همه تلفات در زنجیره قابل مشاهده است و مقصران هنوز دستگیر نشده اند.

خوشبختانه، این حفره تنها بخشی از سیستم DeFi Cream بود، زیرا پلتفرم شریک ادغام آنها، Yearn Finance، ایمن باقی ماند. مانند اکثر هک‌ های پروتکل DeFi، مهاجمان از چندین وام سریع استفاده و قیمت‌ گذاری اوراکل را دستکاری کردند. با کمک تیم Yearn، این پلتفرم به سرعت آسیب پذیری را اصلاح کرد.

Alpha Homora

در فوریه 2021، هک پروتکل Alpha Homora منجر به ضرر 37 میلیون دلاری شد. مهاجم وام سریع نیز از C.R.E.A.M Finance’s Iron Bank از طریق یک سری وام های فوری استفاده کرده است. Iron Bank بازوی وام دهنده پروتکل آلفا هومورا است.

هکرها این فرآیند را چندین بار تکرار کردند تا زمانی که CreamY USD (یا cyUSD) را جمع آوری کردند، سپس از توکن ها برای قرض گرفتن سایر رمزارزها استفاده کردند. هک بسیار پیچیده بود و شامل مراحل متعددی بود. در اصل، مهاجم مخزن sUSD HomoraBank v2 را دستکاری کرده است.

آنها یک سری تراکنش ها و وام های سریع را انجام دادند که به آنها اجازه سوءاستفاده از پروتکل وام دهی بین HomoraBank v2 و Iron Bank را داد.

علاوه بر این، آنها از محاسبه گرد کردن محاسبات وام در شرایطی که یک وام گیرنده وجود دارد، استفاده کردند.

dYdX

مواردی وجود دارد که بازی با پروتکل ها نیاز به زمان بندی مناسب و دستکاری قیمت ها دارد. این مورد در خصوص سوءاستفاده dYdX در اوایل سال 2020 بود. مهاجم از این پلتفرم برای دریافت وام سریع استفاده، سپس وجوه را تقسیم کرد و از آنها در دو پلتفرم معاملاتیFulcrum و Compound استفاده کرد.

بخش اول در Fulcrum در مبادله از ETH به WBTC استفاده شد. در این فرآیند، شبکه Kyber از طریق DEX Uniswap سفارش را دریافت کرد. نکته مهم این بود که استخر نقدینگی پایین Uniswap قیمت WBTC را به طرز باورنکردنی بالا برد.

به طور همزمان، مهاجم از قسمت دوم وام در پلتفرم Compound برای دریافت وام فلش WBTC استفاده کرد. با افزایش سرسام آور قیمت در Uniswap، مهاجم به سرعت مبادله را انجام داد و سود غیرقانونی قابل توجهی به دست آورد.

پنکیک بانی

در می 2021، یک هکر پلتفرم PancakeBunny را با سرقت نزدیک به 3 میلیون دلار آزمایش کرد. هکر ابتدا از PancakeSwap برای دریافت وام بزرگ BNB استفاده کرد. در طول حمله، هکر جفت های تجاری BUNNY/BNB و USDT/BNB را دستکاری کرد.

پس از آن، یک وام بزرگ فلش، مقدار زیادی توکن BUNNY را در اختیار هکر قرار داد که او بلافاصله آنها را رها کرد، BNB را پس داد و همراه با سود ناپدید شد. کل این اتفاق وحشتناک منجر به کاهش تکان دهنده قیمت PancakeBunny از 146 دلار به 6.17 دلار شد.

چگونه از حمله وام سریع جلوگیری کنیم؟

همانطور که حملات بیشتر رخ می دهد، کارشناسان امنیتی بیشتر در مورد سوءاستفاده های مختلف وام سریع یاد می گیرند. تمام آسیب ‌پذیری ‌های موجود در نمونه‌ های ذکر شده در بالا اصلاح شده‌ اند و وقوع آنها دو راه‌ حل محبوب را به وجود آورده است.

اوراکل های قیمت گذاری غیرمتمرکز

از آنجایی که اکثر حملات وام سریع به دستکاری قیمت بستگی دارند، لازم است با این رویکرد با اوراکل های قیمت گذاری غیرمتمرکز مقابله کرد. نمونه های خوب Chainlink و Band Protocol هستند. این پلتفرم ها با ارائه قیمت دقیق ارزهای دیجیتال مختلف، تمامی پروتکل ها را ایمن نگه می دارند.

به عنوان مثال، حملات DeFi مانند آنچه برای dYdX رخ داد امکان پذیر نخواهد بود زیرا پروتکل ها قیمت خود را از یک DEX دریافت نمی کنند.

Alpha Homora اکنون از Alpha Oracle Aggregator برای جلوگیری از تکرار تاریخ استفاده می کند. با افزایش اندازه بازار DeFi، سیستم‌های بیشتری مانند این را مشاهده خواهیم کرد.

پیاده سازی پلتفرم های امنیتی DeFi

اکوسیستم DeFi از فناوری های پیشرفته ای استفاده می کند که چشم انداز سیستم های مالی بین المللی را تغییر می دهد. این نوع توجه بار بزرگی را بر کل سیستم وارد می کند.

خبر خوب این است که در حال حاضر پلتفرم های خاصی وجود دارد که با چالش های امنیتی فعلی مقابله می کند. OpenZeppelin مثال کاملی است. نقش آن در کل اکوسیستم محافظت از قراردادهای هوشمند و پلتفرم های DeFi به طور کلی است.

برای آشنایی با اسنپ شات بر روی لینک کلیک کنید.

جدا از قابلیت‌ های حسابرسی قرارداد هوشمند، راه‌ حل‌ هایی مانند Defender Sentinels محافظت مداوم در برابر حملات وام‌ های فلش را فراهم می‌ کنند. توسعه‌دهندگان می‌ توانند از این ابزار برای خودکارسازی استراتژی‌ های دفاعی خود، توقف سریع کل سیستم‌ ها و استقرار اصلاحات استفاده کنند.

این نوع واکنش سریع برای کاهش آسیب احتمالی که حمله وام سریع ممکن است متحمل شود ضروری است.

بازیکنان بزرگی مانند Yearn.finance، Foundation Labs، dYdX، Opyn، The Graph، PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای خنثی کردن حملات به سیستم های خود استفاده می کنند.

آیا وام های سریع بدون ریسک هستند؟

ریسک وام های سریع یا فلش

وقتی همه چیز طبق برنامه پیش می رود، وام های آنی کاملاً بدون ریسک هستند. وام گیرنده و وام دهنده در صورتی می توانند از این معامله بهره مند شوند که تمام شرایط قرارداد هوشمند را رعایت کنند.

از منظر وام دهنده، آنها هرگز پولی نمی دهند. همه اینها مصنوعی است و اگر وام گیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاک چین می شود. اگر وام گیرنده قصور و کوتاهی کند، همان معامله به سادگی رد می شود.

وام دهنده هنوز وجوه خود را دارد و وام گیرنده به کسی بدهکار نیست.

برای آشنایی با آنارکوکاپیتالیسم بر روی لینک کلیک کنید.

از سوی دیگر، وام گیرنده فقط می تواند سود داشته باشد. آنها می توانند از وجوه قرض گرفته شده برای کسب سود از آربیتراژ در بازار کریپتو استفاده کنند. اگر معامله به پایان برسد، پول به سادگی به وام دهنده باز می گردد.

در حالت ایده آل، طراحی سیستم وام و وام بدون ریسک و فوری را تضمین می کند. با این حال، برای اطمینان از اینکه همه چیز بدون ریسک است، قراردادهای هوشمند باید تمام جزئیات معامله را پوشش دهند. به این ترتیب، هیچ گونه حساسیتی برای سوء استفاده مهاجمان وجود ندارد.

بنابراین، وقتی صحبت از وام‌های فلش می‌شود، بزرگترین خطراتی که در حال حاضر اکوسیستم DeFi را تهدید می‌کند، نشت داده‌ها، به‌علاوه اشکال‌های قرارداد هوشمندی است که این حملات را مجاز می‌کنند.

حتی اگر همه چیز در حال حاضر عالی به نظر نمی رسد، با گذشت زمان، این سیستم ها در نهایت ایمن خواهند شد. با پلتفرم هایی مانند Chainlink و OpenZeppelin، حملات وام فلش احتمالا بخشی از تاریخ خواهند شد.

برای آشنایی با استریوم بر روی لینک کلیک کنید.

سخن پایانی

وام های سریع یا فلش یکی دیگر از موارد افزودنی عالی به اکوسیستم DeFi است. باوجود اینکه آنها در حال حاضر مستعد حمله هستند، اما روند در آینده تغییر خواهد کرد. همانطور که توسعه دهندگان قراردادهای هوشمند بهتری می نویسند و سیستم های بیشتری از ابزارهای امنیتی و اوراکل های غیرمتمرکز برای قیمت گذاری استفاده می کنند، شاهد کاهش تعداد حملات از سوی هکرها خواهیم بود.

اگر به این فکر می کنید که آیا وام های فلش سرمایه گذاری خوبی هستند، به نظر می رسد پاسخ مثبت باشد. به یاد داشته باشید، همیشه حداقل خطر حمله وام سریع وجود دارد، بنابراین هنگام وام دادن از ارزهای دیجیتال خود در پلتفرم های DeFi با احتیاط از آنها استفاده کنید.