Последние исследования проблем безопасности DeFi выявили, что молниеносные займы — это действительно острый клинок.

Говоря о молниеносных займах, это на самом деле относительно новая концепция в децентрализованных финансах, после того как Aave впервые запустила их в начале 2020 года, всё больше протоколов начали их поддерживать. На первый взгляд, молниеносные займы предоставляют арбитражные возможности и быстрые транзакции, которых нет в традиционных финансах, звучит очень привлекательно.

Но ключевая проблема в том, что такой беззалоговый, без проверки кредитоспособности способ займа стал благодатной почвой для атакующих. Я видел несколько классических случаев атак, особенно запомнился инцидент 2020 года. Атакующий взял крупную сумму ETH в молниеносных займах через dYdX, затем отправил их по отдельности в Compound и Fulcrum, а затем через DEXы такие как Kyber и Uniswap манипулировал ценой WBTC. Из-за относительно низкой ликвидности Uniswap крупный ордер резко поднял цену, в результате чего Fulcrum был вынужден покупать WBTC по значительно завышенной рыночной цене. Атакующий завершил всю операцию в рамках одной транзакции и уже заработал деньги к моменту ликвидации.

Есть и другой случай: кто-то использовал молниеносный займ для манипуляции ценой sUSD до 2 долларов (при привязке к 1 доллару), а затем взял в долг больше ETH, используя завышенную стоимость залога. Вот в чем проблема — смарт-контракты могут получать ценовые данные, но они вообще не понимают, какая должна быть стабильность стоимости стабильных монет.

Так как же защититься? Я считаю, что ключ — решить проблему ценообразования.

Во-первых, самый безопасный способ — использовать децентрализованные оракулы. Не полагаться на один источник цен, а агрегировать «реальную цену» из нескольких источников. Тогда даже если кто-то попытается манипулировать ценой крупным ордером, оракул сможет противостоять этому. Ведь вся цепочка атак должна быть выполнена в одном блоке, а механизм подачи данных децентрализованных оракулов делает это практически невозможным.

Во-вторых, можно повысить частоту обновления цен. Чем чаще пул ликвидности запрашивает новые цены, тем короче окно для манипуляций. Хотя в практике это может быть дороже, повышение безопасности того стоит.

Еще один метод — использование взвешенного по времени скользящего среднего (TWAP), то есть не брать цену в один момент времени, а усреднить цену за несколько блоков. Потому что атаки с молниеносными займами должны быть завершены в рамках одного блока, и невозможно манипулировать ценой, усредненной по нескольким блокам.

Некоторые протоколы даже интегрируют инструменты обнаружения атак, которые могут своевременно выявлять аномальные торговые модели. Хотя эффективность таких инструментов еще требует практической проверки, идея правильная.

Честно говоря, сфера DeFi продолжает быстро развиваться, и после каждого инцидента с молниеносными займами вся экосистема учится и совершенствует механизмы защиты. Я уверен, что по мере широкого внедрения децентрализованных оракулов и новых стратегий ценообразования молниеносные займы постепенно перестанут быть инструментом атак и вернутся к своей изначальной функции — предоставлению инновационных финансовых возможностей, а не источником рисков.