Детальный разбор атаки с применением flash loan на bZx и ее влияния на DeFi. В материале раскрывается механизм эксплуатации, рассматриваются уязвимости децентрализованных протоколов и выделяются ключевые уроки по обеспечению безопасности криптоэкосистемы от схожих угроз.
Анализ атаки на bZx и уязвимостей DeFi
DeFi (децентрализованные финансы) радикально меняет способы предоставления финансовых инструментов в интернете, делая их доступными, программируемыми и удобными для всех. Как интернет дал возможность любому создавать, распространять и программировать информацию, DeFi открывает такой же доступ к деньгам и финансам.
DeFi-продукты не требуют доверия — пользователи обходятся без посредников. Протоколы работают по всему миру, прозрачны (код открыт для проверки) и неизменяемы (изменения возможны только по заранее заданной программе). Благодаря компонуемости DeFi продукты можно объединять и наращивать, как детали конструктора Lego, для создания решений, превосходящих сумму отдельных частей.
Контекст
Это новая среда, где каждый может создавать финансовые приложения. В результате формируется мощная, высоколиквидная сеть инструментов — идеальная платформа для инноваций. Благодаря DeFi появился Flash Loan — мгновенный, безрисковый заем, где любой может получить миллионы долларов в рамках одной транзакции. Если заем не возвращен до завершения операции, вся транзакция отменяется. Риск отсутствует, а пользователи могут использовать крупные суммы для любых целей.
Как проходила атака на bZx?
BZx (известная также как Fulcrum) — DeFi-платформа для токенизированного кредитования, займов и маржинальной торговли. Любой пользователь может добавить капитал в пул bZx, получить заем под обеспечение или открыть длинные/короткие позиции с плечом на другие активы. Платформа интегрируется с другими протоколами DeFi, реализуя принцип компонуемости.
Атака была построена на одной сложной транзакции: злоумышленник взял флеш-займ на миллионы долларов и провел эти средства через ряд DeFi-протоколов, чтобы манипулировать пулом обеспечения bZx и получить прибыль. Сценарий выглядел так:
-
Взят флеш-займ на 10 млн долларов в ETH в децентрализованном кредитном протоколе (компонент №1) без залога.
-
5 млн долларов в ETH направлены на открытие короткой позиции с пятикратным плечом на ETH-wBTC на bZx (компонент №2). BZx передал ордер агрегатору ликвидности (компонент №3), который выбрал лучшую цену и выполнил сделку на децентрализованной бирже (компонент №4). Это вызвало сильное проскальзывание и утроило цену wBTC.
-
Оставшиеся 5 млн долларов в ETH переведены в другой кредитный протокол (компонент №5), где под обеспечение в ETH был взят заем в wBTC.
-
Полученные wBTC были проданы по завышенной цене на децентрализованной бирже.
-
Используя прибыль из пункта 4 и остаток от пункта 2, злоумышленник полностью погасил флеш-займ и завершил операцию.
Стратегия принесла прямую прибыль 71 ETH и активный заем на другом протоколе на 1 200 ETH, в сумме 1 271 ETH (355 000 долларов по курсу на тот момент). Платформа bZx осталась с убыточным займом — отсюда и убыток.
Ключевым элементом атаки стала возможность открыть крупную короткую позицию с пятикратным плечом в малоликвидной книге ордеров, подверженной резкому проскальзыванию. В bZx были предусмотрены защитные механизмы, но злоумышленник использовал баг, чтобы их обойти. В результате пул обеспечения bZx понес серьезные потери, другие компоненты системы работали штатно и не пострадали.
Последствия и вторая атака
Сразу после атаки команда bZx с помощью супер-админ-ключей приостановила торговлю и кредитование, устранив основную ошибку. Пока сообщество обсуждало инцидент и платформу вновь запускали, была совершена вторая атака по аналогичной схеме.
Во второй атаке повторение сценария не потребовало обхода правил проскальзывания. Флеш-займ был использован для искусственного повышения цены Synthetix USD на децентрализованной бирже до 2 долларов (с 1 доллара). Злоумышленник внес sUSD в bZx как обеспечение по завышенной цене и занял больше ETH, чем допустимо. Полученные средства были выведены, а после погашения флеш-займа чистая прибыль составила 2 378 ETH (630 000 долларов на тот момент).
Это была атака на ценовой оракул: манипуляция доверенным значением. Здесь флеш-займ искусственно увеличил спотовую цену ETH-sUSD на децентрализованной бирже (оракуле), по которой bZx оценивал обеспечение по займам.
Как обеспечить безопасность в DeFi?
DeFi позволяет создавать новые мощные финансовые продукты, которые тесно интегрируются друг с другом. Подобные атаки — напоминание: программируемые финансы неизбежно содержат ошибки, особенно в процессе активного развития. Сейчас флеш-займы и сеть компонуемых протоколов DeFi образовали новый класс уязвимостей.
Как правило, появление нового типа эксплойтов запускает волну аналогичных атак. Вся экосистема обращает внимание, множество специалистов ищут схожие баги. Можно ожидать большего числа атак на оракулы и флеш-займов. Так формируется устойчивость DeFi.
Например, после взлома DAO с уязвимостью повторного входа сообщество быстро выработало защитные меры. Теперь такие атаки почти исчезли. Это эволюция: уязвимости находят, исправляют, и отрасль становится крепче.
Абсолютной безопасности в DeFi не будет, но можно создать более устойчивую экосистему с помощью Defense in Depth — многоуровневой защиты. Важно развивать потребительскую защиту и страхование. Примечательно, что страховой продукт DeFi DeFi впервые выплатил компенсацию после атак на bZx — значимый этап для отрасли.
Что с децентрализацией в DeFi?
Команда bZx использовала супер-админ-ключи для остановки операций, что подчеркнуло наличие единой точки управления. Это было необходимо для предотвращения дальнейших потерь, но влечет новый риск: что если ключи будут скомпрометированы или использованы неверно? Устранение единоличного контроля — ключевой принцип криптоиндустрии. Как поступать дальше?
Децентрализация — процесс постепенный. Для новых DeFi-сервисов полная децентрализация с первого дня невозможна: если обнаружится эксплойт, а вмешаться нельзя, сервис под угрозой. Протоколы должны децентрализоваться поэтапно, после подтверждения надежности и безопасности.
Основные выводы
DeFi расширяет границы и формирует продукты, определяющие programmable finance. Развитие стремительное, но атаки показывают, насколько разрушительными могут быть инновации. Необходимо сохранять целостный подход: новые атаки неизбежны, но это часть эволюции DeFi. В перспективе появится более прочная экосистема с развитой защитой пользователей.
Состояние криптовалютных дебетовых карт
«Траты» всегда были ключевым стимулом для использования криптовалют, начиная с whitepaper Bitcoin от Сатоши Накамото. Криптоинвесторы давно ищут способы тратить активы — даже на обычный кофе в кафе. Криптодебетовые карты решают эту задачу: по функционалу они аналогичны традиционным, но списывают средства с криптосчета, а не с банковского.
История
Первые дебетовые карты появились в результате ряда инициатив, включая запуск карты на крупной платформе в ранние годы. Этот продукт позволял тратить биткоины в любой точке, где принимают Visa. Однако карта выпускалась не под white-label, а через стороннего платежного процессора.
Далее на рынок вышли BitPay, Bitwala, Wirex и Coinsbank. В период ICO-бум компании TenX, Token Card (сейчас Monolith) и Monaco (сейчас crypto.com) также вышли на рынок. TenX собрала 80 млн долларов за 7 минут через ICO; Token Card и Monaco — 12,7 и 27 млн соответственно, что отражает интерес к криптокартам. Основная конкуренция шла по снижению комиссий, удобству и программам лояльности.
Проблемой было то, что мало платежных процессоров готовы были выпускать криптокарты — один обслуживал особую карту, другой — большинство остальных. Ограничивало и то, что пользователи предпочитали держать биткоин из-за волатильности и инвестиционного потенциала, а не тратить. Сегодня, с развитием экосистемы и появлением стейблкоинов, криптокарты готовы к массовому применению.
За последние годы один из процессоров сменил стратегию и провел ребрендинг, готовя запуск новой карты в Великобритании. Для остальных в определенный период Visa прекратила сотрудничество с процессором из-за «несоблюдения правил», что привело к блокировке карт.
В перспективе криптокарты снова могут получить популярность, особенно со стейблкоинами с доходностью, такими как USDC на отдельных платформах. Одна из крупнейших платформ недавно получила статус Principal Member Visa, что позволяет выпускать карты в ЕС напрямую, без банка-партнера.
Главные новости: комментарии по ключевым событиям
Обновление Ethereum вызвало жаркие споры в сообществе
В Ethereum недавно возникла острая дискуссия из-за предлагаемого обновления майнинга — ProgPow (Progressive Proof of Work). Цель — сделать майнинг доступным для обычного оборудования, снизив преимущество ASIC-майнеров (специализированных, мощных устройств, доминирующих на рынке).
Внедрение ProgPow могло бы повысить доступность майнинга, вероятно, повысить децентрализацию и вернуть Ethereum к идее сопротивления ASIC.
Проблема в том, что ProgPow уменьшил бы общую вычислительную мощность сети (GPU слабее ASIC), делая Ethereum уязвимым для атаки 51%. Ни один алгоритм майнинга не полностью защищен от ASIC: со временем появятся специализированные ASIC и для ProgPow. Многие считают, что именно ASIC-майнеры обеспечивают безопасность PoW-сетей — ни одна сеть на ASIC не подвергалась атаке 51%.
Любой спорный форк требует осторожного подхода. Сейчас риски особенно велики: на Ethereum размещены DeFi-активы, такие как USDC и USDT, а спорные обновления могут подорвать стабильность сети.
Несмотря на долгую историю, ProgPow недавно был утвержден к внедрению. Однако негативная реакция сообщества привела к отклонению предложения вновь.
Tron обвинен во «враждебном захвате» блокчейна Steem
Steemit — социальная платформа, аналог Reddit, — объявила о переходе на блокчейн Tron. Сообщество Steem обеспокоилось, что Tron Foundation получила чрезмерную власть, и сразу реализовало мягкий форк, отключив права голосования Tron.
В ответ Tron привлек крупные биржи, включая одну из лидирующих, и провел хард-форк, восстановив права голосования и заморозив токены участников управления Steem. Сообщество Steem расценило это как попытку враждебного захвата.
Steem использует протокол Delegated Proof of Stake, поэтому депозиты на крупных биржах были критически важны для голоса Tron. Руководитель одной из топовых бирж признал участие в хард-форке, но заявил, что не был осведомлен о конфликте, и позднее осудил действия Tron.
Эта ситуация подчеркивает сложность управления блокчейнами. В dPOS-сетях решает большинство — Tron действовал по правилам. Но реальная ценность у пользователей, контролирующих экономику сети. Сообщество Steem отвечает, отключая приложения, выходя из фонда и поддерживая избранных валидаторов.
Роль бирж и кастодианов в управлении блокчейнами растет. Контролируя основные активы, они получают значительный политический вес. По мере развития индустрии можно ожидать появления новых инструментов управления у централизованных платформ.
Основные итоги новостей
Блокчейн — это революционная технология, но в основе — масштабный эксперимент в сфере компьютерных наук с участием всех. Владельца у сетей нет, они принадлежат сообществу. Подобные события — ключевые испытания для управления блокчейнами. Ethereum и Steem формируют важные прецеденты. За этим должны следить все.
FAQ
Что такое флеш-атака на bZx? Как злоумышленники использовали уязвимости DeFi для получения прибыли?
В атаке на bZx флеш-займы применялись для манипуляций ценами Uniswap, что позволило открывать позиции с плечом и арбитраж. Злоумышленники получили около 360 000 долларов, эксплуатируя уязвимости ценовых оракулов и недостаточную защиту протоколов DeFi.
Каковы основные уязвимости и риски безопасности в протоколах DeFi и как их предотвратить?
Риски DeFi включают атаки повторного входа и утечки приватных ключей. Для предотвращения важно соблюдать лучшие практики разработки смарт-контрактов, настраивать автоматизированное реагирование на инциденты и проводить комплексные аудиты в условиях, близких к основной сети.
Что такое Flash Loan (Flash Loan) и почему его легко использовать для атак?
Флеш-займ в DeFi — это необеспеченный заем, который нужно вернуть в рамках одной транзакции. Он уязвим для атак, поскольку позволяет получить большие суммы без залога и манипулировать ценами активов или эксплуатировать уязвимости сразу в нескольких протоколах.
Кто является основными поставщиками и продуктами криптовалютных дебетовых карт?
Крупнейшие поставщики — BitPay и Revolut. Их карты позволяют оплачивать покупки и снимать наличные за счет криптовалюты, предоставляя удобные и безопасные решения для расходов цифровых активов.
Каковы преимущества и риски криптовалютных дебетовых карт?
Преимущества — возможность тратить криптовалюту ежедневно и мгновенный доступ к средствам. Риски связаны с волатильностью, уязвимостями безопасности и зависимостью от централизованных операторов.
Каковы основные риски безопасности в майнинге ликвидности и кредитных протоколах DeFi?
Основные угрозы — баги в коде, некорректные правила и системные финансовые риски. Для предотвращения манипуляций и кризисов ликвидности проекты должны проводить тщательные аудиты, внедрять эффективные механизмы контроля рисков и осуществлять постоянный мониторинг.
Как проекты DeFi усилили безопасность после инцидента с bZx?
В DeFi-протоколах появились обновления с отложенным вступлением в силу, усовершенствовались процедуры аудита и ревью, а также увеличилась децентрализация управления для снижения будущих рисков.
Какие ограничения и комиссии действуют при использовании криптовалютной дебетовой карты?
Криптовалютные дебетовые карты обычно отличаются низкими комиссиями за транзакции, но устанавливают дневные лимиты на траты и снятие. Комиссии и ограничения зависят от конкретной карты. Перед использованием важно проверить поддерживаемые криптовалюты.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
