Başlangıçta bir DeFi yeniliği olan flash krediler, nasıl hackerlar için bir arbitraj aracı haline geldi?

Flaş kredilerin kökeni

Kripto para piyasasının patlaması, geleneksel finansal kredilere benzer hizmetler yarattı. Geleneksel kredilere benzer şekilde, bu hizmetler borçluların bir krediye başvurmak için teminat, yani kripto para birimi koymasını gerektirir. Borç sona erdikten sonra, borçlu ödünç alınan paraları ve kararlaştırılan faizi geri öder. Faiz her borç verene dağıtılacaktır.

Bununla birlikte, geleneksel finans kurumları genellikle borç verirken iki büyük riskle karşı karşıyadır: temerrüt riski ve likidite riski. İlki genellikle borç verenin kaçmasına veya borcunu ödeyememesine atıfta bulunurken, ikincisi bir kurumun çok fazla borç vermesi ve borçlunun krediyi zamanında geri ödeyememesi ve bunun sonucunda krediyi ödeyememesi gerçeğine atıfta bulunur.Bu iki büyük risk, kripto kredilerinde de mevcuttur.

Bu nedenle flash krediler ilk olarak 2018 yılında bu iki riski azaltmak için Marble protokolü tarafından önerilmiş ve daha sonra Aave ve dYdX ticaret platformlarının yükselişi ile yavaş yavaş popülerlik kazanmıştır. 2020'de Flash krediler yavaş yavaş blok zinciri tarafından bilinir hale geldi. "Akıllı sözleşme bankası" olduğunu iddia eden Marble'ın önerdiği flaş kredi konsepti, o zamanlar çok basit ama çok akıllı bir DeFi yeniliğiydi. Akıllı sözleşmeler yoluyla sıfır riskli kredileri ifade eder. Hemen hemen tüm DeFi projeleri şu anda Ethereum blok zincirinde yürütüldüğünden, flash kredilerin nesneleri de esas olarak Ethereum'a dayalı projelerdir.

Flaş krediler nasıl çalışır?

Flaş krediler, tüccarların teminat koymadan belirli bir akıllı sözleşme havuzundan mevcut herhangi bir varlık tutarını ödünç almalarına ve krediyi aynı işlem içinde faizli olarak iade etmelerine olanak tanır.

Aynı işlemde ödünç al, kullan ve geri öde? Geleneksel finans piyasasında bu mümkün değildir, ancak kripto para piyasasında gerçekten mümkündür. Flash kredi işleminde, bir işlem, "atomik tarzda" gerçekleştirilen bir dizi işlemi ifade eder, yani ya tüm adımlar gerçekleştirilir veya işlem, hiçbir adım gerçekleştirilmeden geri alınır. Tüm adımlar bölünemez ve bir işleme (blok) kaydedilecektir.

Ethereum'un mevcut blok hızı 13.52 saniyedir. Yani mevcut flash kredi işleminde ödünç alma, kullanma ve geri ödeme işlemlerinin 13.52 saniye içerisinde tamamlanması gerekmektedir. Borçlunun geri ödemeyi zaman sınırı içinde tamamlayamadığı tespit edilirse, işlem eski haline getirilir.

Flaş kredi başvuruları

Hızlı kredi konseptini önerirken, Marble protokolü, kullanıcıların merkezi olmayan bir borsada madeni para satın almak için Marble'dan borç para alabileceklerini ve daha sonra başka bir merkezi olmayan borsada madeni paraları daha yüksek bir fiyata satabileceklerini ve krediyi geri ödeyebileceklerini açıkça belirtti. Kullanıcılar farkı kazanacak. Bu nedenle, flaş kredilerin ana uygulamalarından biri arbitraj ticaretidir.

Uniswap ve Sushiswap'taki DAI/USDT havuzları arasında bir fiyat farkı olduğunu keşfedersek: Uniswap'ta 1.5USDT ile takas yapmak için 1DAI'yi ve Sushiswap'ta 1.5USDT satın almak için 0.5DAI'yi kullanabilir ve ardından arbitrajı, aşağıdaki işlemler:

1. Hızlı krediler aracılığıyla Aave'den 100 DAI ödünç alın;2. Sushiswap'ta 100 DAI'yi 300USDT ile değiştirin;

3. Uniswap'ta 300USDT'yi 200DAI ile değiştirin;

4. Aave'ye ödünç verilen 100DAI'yi ve ilgili işlem ücretlerini geri ödeyin;

5. Kalan bakiye, gelir olan 100 DAI'dir.

Aslında, aynı zamanda ağ maliyetleri, fiyat kayması, ilk gelen alır koşulu vb. içerir, bu nedenle süreç göründüğü kadar basit değildir.

Ayrıca, flash krediler teminat ikamesi olarak ve kendi kendini tasfiye sürecinde de kullanılabilir ve işlemler arbitraj sürecine benzer.

Flash krediler, bilgisayar korsanlığı taktiklerine indirgendi

Her saldırı olayında, saldırgan önce flaş krediler yoluyla çok sayıda fon elde etti ve ardından bir dizi ipotek, kredi, işlem vb.

Şubat 2020'de bZx ilk flaş kredi saldırısına uğradı. Saldırgan, birden fazla DeFi protokolünü çağırarak sıfır maliyetle 1.193 ETH (o zamanlar toplam 340.000 dolar) kar elde etti. İlgili blok zincirinin kayıtlarına göre spesifik süreç şu şekildedir:

1. Sıfır teminatla flash kredi yoluyla dYdX'ten 10.000 ETH ödünç verin;

2. 112WBTC'yi ödünç almak için 5,500'ünü Bileşikte rehin verin;

3. bZx aracılığıyla dayanak noktasına 1300 ETH gönderin ve ETH/BTC ticaret çiftinde 5 kat kaldıraçlı kısa pozisyon açın;

4. Kyber Reserve aracılığıyla Uniswap'ın WBTC havuzuna 1.5 milyon dolar değerinde 5.637 ETH sattı ve 510.000 dolar değerinde 51.34 BTC satın aldı;

5. İlgili Uniswap havuzunda Bileşikten ödünç alınan 112 BTC'den 112 WBTC'yi sat ve 6800 ETH elde et;

6. Son olarak, 3200ETH ve 6800ETH'yi dYdx'e döndürün.

İlk saldırıdan sadece 3 gün sonra bZx ikinci bir flash kredi saldırısına uğradı. Saldırganın 2.388 ETH veya yaklaşık 644.000 dolar kar elde ettiği tahmin ediliyor.

DeFi neden flaş krediler tarafından sık sık saldırıya uğradı?

Şu anda, Uniswap vb. gibi DEX (Merkezi Olmayan Borsalar), otomatikleştirilmiş piyasa yapıcılar ve fiyat kehanetleri aracılığıyla esas olarak fiyatları, döviz kurlarını ve diğer işlevleri alır ve bildirir. Bununla birlikte, CEX'in (merkezi borsa) aksine, DEX'in verileri daha bağımsızdır ve varlık havuzunun fiyatı, işlem hacmindeki ve likiditedeki büyük değişiklikler nedeniyle kolayca dalgalanabilir ve bu da aynı ticaretin varlık havuzları arasında bir fiyat farkına neden olur. farklı DEX'ler arasında eşleşir, böylece arbitraj için yer kalır.

Bu nedenle, saldırgan flaş krediler yoluyla çok sayıda fon ödünç alabildiği, akıllı sözleşmeler aracılığıyla ticaret platformundaki döviz kurunu manipüle ettiği ve son olarak "sıfır maliyet" riski elde etmek için farklı platformlar arasındaki döviz kuru farkı üzerinden arbitraj gerçekleştirebildiği sürece -ücretsiz saldırı.

Çaldı ve geri mi verdi? Flaş Kredi Saldırganları Hakkında Eğlenceli Gerçekler

İlginç bir şekilde, bazı flash kredi saldırganları, saldırıdan sonra haksız elde ettikleri kazançlarının bir kısmını veya tamamını geri ödedi.

2020'de Value DeFi protokolü Twitter'da, şu anda flaş kredi saldırılarına direnmek için en iyi mekanizmaya sahip DeFi platformu olduklarını açıkça belirtti. Aynı yılın Kasım ayında Value DeFi, bilgisayar korsanları tarafından hızlı bir kredi saldırısına uğradı ve 7 milyon dolardan fazla zarara yol açtı.

Ancak görünüşe göre, saldırı hacker'ın asıl amacı değildi, çünkü sonunda hacker 2 milyon DAI geri verdi ve alaycı bir mesaj bıraktı: "Gerçekten flaş kredileri biliyor musunuz?"

Flaş krediler iyi mi kötü mü?

Flaş krediler gerçekten de yenilikçi bir finansal araçtır. Normalde, dijital para piyasasında farklı rollerdeki katılımcıların ihtiyaçlarını karşılayabilir ve fon akışını ve değer dolaşımını teşvik edebilir. Ama her şeyin iki yüzü vardır. Şu anda, flash kredilerin bilgisayar korsanları tarafından arbitraja saldırmak için sıklıkla kullanıldığı biliniyor ve bu nedenle birçok tüccar tarafından eleştiriliyor.

Flaş kredi saldırıları DeFi ekosistemine zarar verdi, ancak bu tür saldırılar flaş kredi hizmetlerini durdurmak için bir neden değil. Sonuçta, farklı durumlarda farklı insanlar tarafından kullanılır. Ayrıca, flaş kredi saldırılarının sık sık meydana gelmesi, şu anda gelişen DeFi ekosistemi için alarm zilini çalabilir ve eksiklikleri ile yüzleşmeye teşvik edebilir. Ancak bunu yaparak ekosistem sürekli iyileştirmeler yapabilir ve daha iyisini yaratabilir.

Yazar: Gate.io Araştırmacı: Gazer C.; Çevirmen: Sedir W.

* Bu yazı sadece araştırmacının görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.

*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.