Недавно снова возникли вопросы о闪电贷, поэтому давайте подробно обсудим эту тему.

На самом деле,闪电贷 существует в DeFi уже некоторое время. Aave впервые представил эту концепцию в 2020 году, после чего её начали использовать другие кредитные протоколы. Многие изначально привлекались этим механизмом, потому что он ломает ограничения традиционных финансов — без залога, без проверки кредитоспособности можно взять крупную сумму. Звучит заманчиво, но за этим скрыт довольно хитрый механизм.

Проще говоря,闪电贷 — это беззалоговое заимствование, осуществляемое смарт-контрактом в рамках одного блока транзакций. Вы берёте деньги взаймы, должны вернуть их до окончания этой транзакции, иначе всё автоматически отменяется, как будто ничего не происходило. Благодаря этой атомарной конструкции, кредитор полностью лишён риска, поэтому возможна выдача кредитов без порога входа.

Изначально это было инновационной функцией, поддерживающей арбитраж, управление ликвидностью и другие легальные применения. Но, как можно догадаться, некоторые начали использовать её в злонамеренных целях.

Самое яркое впечатление у меня осталось от нескольких случаев атак с闪电贷 в 2020 году. Один из злоумышленников взял ETH в闪电贷 на dYdX, затем распределил эти деньги между платформами Compound и Fulcrum. На Fulcrum он открыл короткую позицию по ETH против WBTC, одновременно через Kyber массово покупал WBTC на Uniswap. Из-за недостаточной ликвидности WBTC на Uniswap эта операция резко подняла цену WBTC. В результате Fulcrum был вынужден покупать WBTC по цене выше рыночной, а злоумышленник, воспользовавшись разницей в ценах, получил прибыль — он погасил ETH-займ и остался в плюсе.

Ещё одна атака была направлена против протокола bZX: злоумышленник использовал闪电贷 для крупной покупки sUSD на Kyber, что привело к скачку стоимости стейблкоина с 1 до 2 долларов. Поскольку смарт-контракт ориентируется только на ончейн-цены и не учитывает реальную привязку стейблкоинов, злоумышленник взял в долг ещё больше ETH, используя удвоенную сумму sUSD, и сбежал. Всё происходило в рамках одного блока.

Увидев эти случаи, многие начали опасаться, что闪电贷 может стать «таймером бомбы» для DeFi. Но на самом деле, меры защиты тоже развиваются.

Самое простое решение — использование децентрализованных оракулов. Вместо доверия к одному DEX с ценой, собирают данные с нескольких источников и формируют «истинную цену». Даже если кто-то попытается манипулировать ценой, оракул сможет обнаружить аномалию. Также повышают частоту обновления цен, чтобы они всегда оставались актуальными, сокращая окно для манипуляций.

Более изощрённый подход — взвешенное скользящее среднее по времени (TWAP). Этот метод использует среднюю цену за несколько блоков вместо мгновенной цены одного блока, что значительно усложняет манипуляцию TWAP. Некоторые протоколы требуют выполнения сделок, растянутых на два блока, что ещё больше усложняет атаку.

Конечно, по мере усложнения атак с闪电贷, улучшаются и защитные механизмы. Уже есть протоколы, интегрирующие инструменты обнаружения атак, способные своевременно выявлять аномальные торговые схемы.

В конечном итоге, DeFi — это всё ещё молодая экосистема, и сама по себе闪电贷 не является проблемой. Вопрос в том, как проектировать более безопасные протоколы. Каждая атака стимулирует развитие отрасли. Верю, что по мере совершенствования мер защиты, этот инструмент вернётся к своим изначальным целям — поддержке инновационных финансовых приложений, а не станет инструментом хакеров для вывода средств.