Electrocoin blog


24.02.2020. - vrijeme čitanja 5 min
Blog image

Hackerski napad na DeFi Flash loans

Što je DeFi?

Decentralizirane financije (DeFi) je pokret koji omogućuje decentraliziranim mrežama da transformiraju renominirane, ali zastarjele financijske proizvode u proizvode koji su transparentni te nemaju potrebu za posrednikom.

DeFi je jedna od vrućih tema u kripto svijetu posljednjih nekoliko mjeseci nakon porasta broja platformi i proizvoda koje se nalaze na DeFi-ju.

Decentralizirana platforma za izdavanje zajmova, MakerDAO, naglo se istaknula usred impresivnog usvajanja njihovog stabilnog coina, Dai-ja. To je samo dio ovog rastućeg ekosustava koji pokreće decentralizirane financije.

Protokoli za zaduživanje, kupnju vrijednosnica, derivata, kripto burze i ostalo, Ethereumov DeFi krajolik se smatra kao jedan od njegovih najdubljih aplikacijskih okruženja dosad, usprkos nedostacima mreže.

Širina primjene DeFi-ja ne može se trenutno definirati jer su mogućnosti gotovo beskrajne, ali trenutni ekosustav sastoji se od nekoliko krucijalnih komponenata:

● Otvoreni protokoli za pozajmljivanje ● Platforme za izdavanje tokena i ulaganje ● Decentralizirani alati za tržišna predviđanja ● Kripto burze (DEX) i otvorena tržišta ● Stabilni coini

Hakerski napadi otkrili “rupe” u DeFi sustavu

“bZx” protokol imao je težak tjedan. Nakon što je 14. veljače izašla vijest o prvom napadu na Fulcrum, platformu za trgovanje i zaduživanje baziranu na Ethereumu, bZx tim je potvrdio kako je u ponedjeljak 17. veljače izvršen drugi hakerski napad. Drugi napad bio je usmjeren na platformu Synthetix, a dogodio se nakon što je bZx implementirao prepravku koda koja je trebala spriječiti iskorištavanje grešaka u “flash loan-ovima”, ironično. Flash loans, odnosno brzi zajmovi su nova opcija u DeFi sustavu koja omogućuje posudbu kriptovaluta bez kolaterala, a vraćanje pozajmice izvršava se automatski u istoj transakciji (odnosno bloku). Važno je naglasiti kako koristimo izraz hakeri u nedostatku boljeg izraza. Ovo nije bio klasičan hakerski napad ili upad u sustav. Ovdje su “hakeri” iskoristili nedostatke u bZx sustavu, točnije nepromišljenost bZx tima koji je u tom trenutku imao samo jedan oracle spojen na API kripto burze s kojeg su se vukli podaci o cijeni. Oracle je sučelje koje pametnim ugovorima isporučuje podatke iz vanjskog izvora. Radi boljeg shvaćanja ove situacije preporučujemo da pročitate ovaj članak kako biste saznali što je oracle te kako funkcionira.

Prvi napad

Kao odgovor na hakerski napad, bZx je ugasio protokol namijenjen za trgovanje i izdavanje zajmova, Fulcrum. U trenutku napada, tim iz bZx-a je održavao prezentaciju na ETHDenver konferenciji. Hakeri su iskoristili grešku u oracle-u za određivanje cijena, odnosno propust bZx-a koji se oslanjao na samo jedan oracle koji je povezan na API od kripto burze. Problem u ovome je likvidnost pojedinačne burze. Zbog relativno malog volumena te količine kriptovaluta na kripto burzama, prodaja ili kupnja velike količine kriptovaluta može uzrokovati značajan pomak u cijeni na toj kripto burzi, što donosi priliku za arbitražu.

Primjerice, u prvom napadu putem složenog spleta transakcija napadač je pump & dump-ao WBTC ("wrapped bitcoin"), (Ethereumov token iza kojeg stoji stvarni bitcoin) na DEX-u zvanom Uniswap. Zatim je uzimao profit u eteru te otplatio flash loan.

Tim Ogilvie, čija je firma Stacked u radnom odnosu s bZx-om, rekao je da gubitak predstavlja skup bug bounty i ističe dječje bolesti flash loanova, novu značajku DeFi-ja koja trgovcima omogućava pozajmljivanje i vraćanje sredstava u kratkim periodima.

Prema Ogilvieu, napadač je posudio 10.000 ETH, vrijednih otprilike 2,67 milijuna dolara, putem flash loana.

Napadač je zatim podijelio posuđena sredstva, slanjem 5000 ETH u DeFi protokol, a drugu polovicu na bZx. Nakon depozita, napadač je shortao (“kladio” se na pad cijene) WBTC na bZx-u. Ubrzo nakon toga je posudio 112 WBTC-a na Compoundu, vrijednosti oko 1,1 milion dolara, i prodao posuđeni WBTC na UniSwapu, drugom DeFi tržištu, rekao je Ogilvie.

Ogilvie je u izjavi naglasio, a firma je kasnije demantirala na Twitteru, da bZx koristi UniSwap cjenovni feed za WBTC. Kad je haker na UniSwap-u prodao WBTC vrijedan 1,1 milijun dolara, njegova short pozicija na bZx-u postala je izuzetno profitabilna. Na taj način, haker je izmanipulirao DeFi tržište.

Drugi napad

Drugi se napad dogodio se zbog loših podataka o cijenama, konkretno iz DeFi mreže Kyber. Ovog puta napadač se fokusirao na Synthetix USD (SUSD), stabilni coin koji je vezan za dolar na Synthetix mreži.

Napadač je pozajmio 7500 ETH-a na bZx-u, a zatim je pumpao vrijednost SUSD-a na Kyberu prodavajući Ether za SUSD. Kupnja tolike količine SUSD-a uzrokovala je skok cijene od 250% što je nepojmljivo za jedan stable coin.

Napadač je tada iskoristio ovisnost bZx-a o Kyberu za procjenu cijena, stavljajući SUSD kao kolateral za veliku svotu Ethera na bZx-u. Haker je uspio “pribaviti” 2.000 Ethera više nego što bi pribavio na otvorenom tržištu za istu količinu SUSD-a.

Nakon što je otplatio flash loan, napadač se fokusirao na otplatu kolateralnog zajma “SUSD za ETH” izdanog na bZx-u, što je rezultiralo profitom od 2.378 ETH za napadača te je prisililo bZx da zaustavi rad platforme..

Napad predviđen mjesecima unaprijed

Ovaj specifični napad na bZx opisan je mjesecima prije nego što se dogodio, od strane white-hat hakera Samczsun u detaljnom članku. Kao što je Samczun napisao u to vrijeme, hipnotizirajući propust koji uključuje: bZx, Ethereumov stabilni token DAI i drugu decentraliziranu kripto burzu zvanu DDEX. Samczsun je rekao:

„Oslanjajući se na on-chain decentralizirani cjenovni oracle bez validacije povratnih podataka, DDEX i bZx bili su podložni manipuliranju cijena. To bi rezultiralo gubitkom tekućeg ETH na tržištu ETH / DAI za DDEX i gubitkom svih likvidnih sredstava u bZx. "

Upravo to se i dogodilo, što dokazuje da je cijeli DeFi ekosustav još u početnoj fazi razvoja te je sklon dječjim bolestima. Iako je trenutno stanje takvo, DeFi tehnologija u budućnosti ima mogućnost potpuno izmijeniti financijsku industriju, a samim time više manje sve industrije na tržištu.

Nedavne objave

Kriptovalute postaju dostupne

Kako bi kriptovalute postale najpoželjniji način plaćanja, tvrtka Electrocoin kroz svoje usluge Bitcoin mjenjačnica i Paycek proaktivno radi na povećanju dostupnosti kriptovaluta širokoj javnosti.

Uvjeti nagradnog natječaja "Bitcoin block reward halving"

Vrijeme održavanja nagradnog natječaja je od 5.5.2020. u 10 sati do 11.5.2020. u podne ili do pojave Bitcoin bloka koji u polju „height“ ima iznos 629964 (koji god događaj bude prije). Da bi ostvarili pravo na sudjelovanje u nagradnom natječaju EC-a sudionici moraju zapratiti odgovarajući EC-ov profil (u slučaju objave na Facebooku pritisnuti „Like“ na profilu „Bitcoin mjenjacnica“, a u slučaju objave na Linkedinu pritisnuti „Follow“ na profilu „Electrocoin“) te u komentar ispod izvorne EC objave upisati predviđeni trenutak halvinga.

Blockchain u crowdfunding industriji

Postoji velik broj perspektiva prema tržištu kriptovaluta. Rasprava o korisnosti i intrinzičnosti kriptovaluta jedna je od tema oko koje se vode žustre rasprave. Oko ove teme lome se koplja stručnjaka iz raznih industrija, a mogu se naći razna mišljenja, od pretjerano pozitivnih, sve do radikalno negativnih.

U ovome članku nećemo lobirati ni za jednu od ovih strana, već ćemo se usredotočiti na ono oko čega se svi slažu. To je potencijal blockchain tehnologije te njezin utjecaj na razvoj postojećih industrija. Stručnjaci se slažu da će blockchain u budućnosti biti prekretnica u razvoju određenih industrija. Ipak, postoje industrije gdje se blockchain implementirao te omogućio demokratizaciju čitave branše.