Останнім часом я досліджую питання безпеки DeFi, і виявив, що блискавичний кредит — це справжній меч двосічний.

Говорячи про блискавичний кредит, це насправді досить нова концепція у децентралізованих фінансах, після першого запуску Aave на початку 2020 року все більше протоколів почали його підтримувати. З першого погляду, блискавичний кредит пропонує арбітражні можливості та швидкі транзакції, яких не може забезпечити традиційна фінансова система, звучить дуже привабливо.

Але ключова проблема в тому, що цей беззаставний, без перевірки кредитної історії спосіб позик став теплим місцем для атак. Я бачив кілька класичних випадків атак, з яких найцікавіший — інцидент 2020 року. Атакуючий отримав великі обсяги ETH через dYdX у вигляді блискавичних кредитів, потім відправив їх до Compound і Fulcrum, а далі через DEXи, такі як Kyber і Uniswap, маніпулював ціною WBTC. Оскільки ліквідність Uniswap була відносно низькою, великі ордери одразу піднімали ціну, і в результаті Fulcrum був змушений купувати WBTC за значно вищою за ринкову ціною. Атакуючий завершив усі операції в межах однієї транзакції і вже отримав прибуток під час ліквідації.

Ще один випадок — хтось використовував блискавичний кредит для маніпуляції ціною sUSD до 2 доларів (хоча вона повинна бути прив’язаною до 1 долара), а потім позичав більше ETH, використовуючи штучно завищену заставу. Тут проблема в тому, що смарт-контракти можуть отримувати цінові дані, але вони зовсім не розуміють, яку цінність має стабільна монета, і що вона повинна залишатися прив’язаною до долара.

Як запобігти цьому? Я вважаю, що головне — вирішити проблему ціноутворення.

Перш за все, найнадійніший спосіб — використовувати децентралізовані оракули. Не покладатися на один джерело цін, а агрегувати «справжню ціну» з кількох. Таким чином, навіть якщо хтось спробує маніпулювати ціною великими ордерами, оракул зможе протистояти цьому. Адже весь сценарій атаки має бути виконаний у межах одного блоку, а децентралізовані оракули з їх механізмами подання даних зроблять це майже неможливим.

По-друге, можна підвищити частоту оновлення цін. Ліквідні пули будуть частіше оновлювати ціни, і вікно для маніпуляцій значно звузиться. Хоча це може бути дорожче на практиці, підвищення безпеки того варте.

Ще один метод — використання цінового середнього за часом (TWAP), тобто замість однієї ціни в конкретний момент беруть середнє значення за кілька блоків. Адже атаки з блискавичними кредитами мають бути завершені в межах одного блоку, і вони не зможуть маніпулювати ціною, яка розраховується на основі кількох блоків.

Деякі протоколи навіть інтегрували інструменти виявлення атак, які можуть своєчасно ідентифікувати аномальні торгові моделі. Хоча їх ефективність ще потребує практичного підтвердження, ідея правильна.

Чесно кажучи, сфера DeFi швидко розвивається, і кожен випадок атаки з блискавичним кредитом сприяє тому, що екосистема навчається і вдосконалює механізми захисту. Я вірю, що з поширенням децентралізованих оракулів і нових стратегій ціноутворення, блискавичні кредити поступово повернуться до своєї первісної ролі — інноваційного фінансового інструменту, а не джерела ризиків.