Нещодавно знову з’явилися запитання щодо швидких позик, тож давайте детальніше обговоримо цю тему.

Насправді швидкі позики вже існують у DeFi досить давно. Aave вперше представила цю концепцію у 2020 році, а згодом її почали використовувати інші протоколи кредитування. Багато хто спочатку був захоплений цим, оскільки воно руйнує межі традиційних фінансів — без застави, без кредитної перевірки можна позичити великі суми. Звучить дуже привабливо, але механізм за цим досить хитромудрий.

Простими словами, швидка позика — це беззаставна позика, яка виконується смарт-контрактом у межах одного блокчейн-транзакції. Ви позичаєте гроші, і повинні повернути їх до завершення цієї транзакції, інакше весь процес автоматично скасовується, ніби нічого й не трапилося. Завдяки цій атомарності кредитор зовсім не ризикує, тому й можливо надавати позики без порогу входу.

Спочатку це була інноваційна функція, яка підтримувала арбітраж, управління ліквідністю та інші легальні цілі. Але, як ви можете здогадатися, деякі почали використовувати її у шахрайських цілях.

Найяскравіший приклад — кілька атак із використанням швидких позик у 2020 році. Один з нападників позичив ETH через швидку позику на dYdX, а потім розподілив ці кошти між платформами Compound і Fulcrum. На Fulcrum він відкрив коротку позицію на ETH щодо WBTC, одночасно через Kyber купуючи велику кількість WBTC на Uniswap. Через недостатню ліквідність WBTC на Uniswap ця операція різко підняла ціну WBTC. В результаті Fulcrum був змушений купувати WBTC за ціною вище ринкової, а нападник, використовуючи різницю у ціні, отримав прибуток, повернувши ETH і заробивши на різниці.

Ще один випадок — атака на протокол bZX, де зловмисник використав швидку позику для масованої купівлі sUSD на Kyber, що різко підняло ціну стабільної монети з 1 до 2 доларів. Оскільки смарт-контракти дивилися лише на ціну на ланцюгу і не враховували реальну прив’язку стабільних монет, нападник взяв у борг ще більше ETH, використовуючи подвоєну ціну sUSD, і зник. Весь процес відбувся за один блок.

Побачивши ці кейси, багато почали хвилюватися, чи не стане швидка позика часом бомбою сповільненої дії у DeFi. Але насправді, заходи захисту також розвиваються.

Найпростіший спосіб — використання децентралізованих оракулів. Замість довіряти ціну одного DEX, можна агрегувати дані з кількох джерел, щоб отримати «справжню ціну». Навіть якщо хтось захоче маніпулювати ціною, оракул зможе виявити аномалію. Ще один підхід — підвищення частоти оновлення цін, щоб ціна завжди залишалася актуальною і зменшувала час для маніпуляцій.

Ще більш хитромудрий — використання цін за часом (TWAP). Цей метод базується на середній ціні за кілька блоків, а не миттєвій ціні одного блоку. Маніпуляція TWAP коштує набагато дорожче. Деякі протоколи навіть вимагають, щоб транзакції займали кілька блоків, що ще більше ускладнює атаки.

Звісно, оскільки атаки з використанням швидких позик стають все складнішими, механізми захисту також удосконалюються. Уже з’явилися протоколи, які інтегрували інструменти виявлення атак і здатні швидко реагувати на підозрілі операції.

Загалом, DeFi — ще дуже молода екосистема, і сама швидка позика — не проблема сама по собі. Проблема у тому, як проектувати безпечні протоколи. Кожна атака стимулює розвиток галузі. Вірю, що з часом заходи безпеки стануть настільки досконалими, що швидка позика повернеться до своїх первинних цілей — підтримки інноваційних фінансових застосунків, а не стане інструментом для хакерів.