Сеть Binance Smart Chain, пользующаяся неоднозначной репутацией, снова попала в новостные ленты. На этот раз – в связи с тем, что развернутые в ней децентрализованные приложения (Dapp) за последние дни несколько раз подверглись т. н. атакам мгновенного займа. По неофициальным данным, в результате было потеряно средств на один миллиард долларов США. В компании заявляют, что стали объектом целенаправленных хакерских атак.
There are >8 #flashloan hacks recently, we believe, an well organized hackers are targeting #BSC now. It is very challenging time for the BSC communty. We are calling for the actions for all the #dapps:
— Binance Smart Chain (@BinanceChain) May 30, 2021
Призыв к действию
Сеть Binance Smart Chain является централизованной, так неужели она не может позаботиться о собственной безопасности? Ведь такая архитектура позволяет это сделать. Но можно ли в этом случае развернутые в ней приложения считать действительно децентрализованными? На все эти вопросы еще предстоит найти ответы. А пока компания рекомендует своим проектам принимать следующие меры:
- Привлекать аудиторские компании для проведения дополнительных проверок. Если проект является ветвлением, изменения относительно исходного проекта нужно перепроверять два, а то и три раза.
- Применять надлежащий контроль рисков, активно отслеживать в режиме реального времени любое аномальное поведение и приостанавливать работу протокола в случае выявления такового.
- Иметь план действий на случай крайне неблагоприятных событий.
- Создавать собственные программы поощрения пользователей.
1⃣ The hacker used PancakeSwap to borrow a huge amount of BNB
— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021
2⃣ The hacker then went on to manipuate the price of USDT/BNB as well as BUNNY/BNB
3⃣ The hacker ended up getting a huge amount of BUNNY through this flash loan
Компания также предлагает бесплатные консультации от известных компаний, специализирующихся на безопасности блокчейнов, – PeckShield и CertiK Security Leaderboard.
Как работает атака мгновенного займа?
Сегодня мир DeFi можно сравнить с «диким Западом» в период его расцвета. Именно поэтому данная сфера стремительно развивается и привлекает многих. С другой стороны, это сопряжено с многочисленными рисками как для пользователей, так и для разработчиков. Именно на последних направлены атаки мгновенного займа, основанные на самой сути DeFi. В одном из последних случаев на Binance это происходило следующим образом:
- Киберпреступник получил крупный заем в BNB.
- Затем атакующему удалось манипулировать котировками USDT/BNB и BUNNY/BNB.
- В результате в распоряжении злоумышленника оказалась огромная сумма в BUNNY.
В общем случае, мгновенные займы позволяют пользователям одалживать значительные объемы активов в пулах ликвидности на блокчейне. Вернуть их они обязаны в пределах той же транзакции. За это взымается небольшая комиссия, так что все стороны остаются довольны. Проблема в том, что одна такая крупная сделка позволяет повлиять на рынок.
Это создает риски для протоколов, цена в которых формируется исключительно с помощью механизма децентрализованной биржи. Криптомошенник просто получает мгновенный заем в одних токенах и на бирже сразу же конвертирует его в другие. В результате котировки обоих токенов меняются – один растет, а другой падает. После этого пользователь переходит в протокол, на который направлена атака, и за вторые токены берет взаймы еще большее количество первых токенов. За них он погашает исходный заем, разницу кладет в карман и ждет, пока рынок восстановится после такой манипуляции.
Спланированное мошенничество?
Скептически настроенные пользователи Твиттер выдвинули другую версию, которая, впрочем, пока не подтверждена. Они считают, что атакованные проекты изначально создавались как мошеннические, а теперь прикрывают свои действия вымышленными атаками.
Если значительная доля общей ликвидности токена была внесена командой разработчиков, та вправе в любой момент забрать эти средства и выбросить их на рынок. Это может обрушить цену токена до нуля, так как такого крупного продавца не найдется.
Может ли подобное поведение скрываться под видом хакерских атак? Это было бы слишком простым объяснением. Добавим лишь, что некоторые из атакованных проектов пообещали предоставить своим пользователям компенсацию.
Источник: https://bitcoinist.com
Комментарии