حمله فلش لون Flash Loan Attack چیست؟ همه چیز درباره حمله وام سریع دیفای

حمله فلش لون با افزایش محبوبیت وام‌های سریع، گسترش می‌یابد. وام‌های سریع در حال تبدیل شدن به بخش بزرگی از صنعت دیفای (DeFi) هستند، پس جای تعجب نیست که هکرها به فکر منفعت خود و سرقت دارایی کاربران کریپتو باشند. در این مقاله از بلاگ‌پست پینگی شما را با حمله وام سریع یا Flash Loan Attack آشنا می‌کنیم. آشنایی با این حملات به امنیت بیشتر دارایی‌های شما کمک می‌کند.

یکی دیگر از اتفاقات بد در صنعت دیفای، حمله فلش لون بود. بایننس اسمارت چین در پلتفرم PancakeBunny مورد حمله هکرها قرار گرفت و ۲۰۰ میلیون دلار از حساب کاربران خارج شد. بیش از ۷۰۰هزار BUNNY و ۱۱۴,۰۰۰ توکن BNB به سرقت رفت. البته توانست ضررهای مالی را جبران کند.

حملات وام‌های سریع بی‌معنا نیستند. آنها در واقع در حال تبدیل شدن به یک مشکل بسیار جدی در حوزه ارزهای دیجیتال و به ویژه دیفای (DeFi) هستند. در این مقاله نگاهی خواهیم داشت به این که فلش لون چیست؟ چگونه کار می کنند؟ چرا آن‌ها بسیار رایج هستند و آیا اصلاً می‌توان آن‌ها را متوقف کرد.

حمله فلش لون چیست؟

حمله فلنوعی اش لون یکی از حملات DeFi است که در آن یک هکر سایبری وام سریع (شکلی از وام‌دهی بدون وثیقه) را از یک پروتکل وام‌دهی دریافت می‌کند و از آن همراه با انواع حیله‌ها برای دستکاری بازار به نفع خود استفاده می‌کند. چنین حملاتی می‌توانند در عرض چند ثانیه اتفاق بیفتند و در عین حال همچنان شامل چهار یا چند پروتکل DeFi باشند.

حمله وام سریع یکی از رایج‌ترین انواع حملات DeFi است؛ زیرا ارزان‌ترین حملات هستند. این حملات از سال ۲۰۲۰ پس از رشد محبوبیت دیفای، افزایش یافتند و همیشه تیترهای خبری را به خود اختصاص می‌دهند. در سال ۲۰۲۱ این حمله رشد یافت و صدها میلیون دلار ضرر را برای کاربران به همراه داشت.

فلش لون (Flash Loans) چیست؟

فلش لون یا وام‌های سریع که گاهی هم با نام وام آنی معرفی می‌شوند، نوع جدیدی از وام‌های بدون وثیقه هستند که توسط قراردادهای هوشمند آوه (Aave)، یکی از برترین پروتکل‌های وام‌دهی در DeFi، اجرا می‌شوند.

به طور کلی دو نوع وام وجود دارد: وام‌های با وثیقه، که نیاز به وثیقه دارند، و وام‌های بدون وثیقه که نیازی به وثیقه ندارند. یک مثال خوب از وام بدون وثیقه زمانی است که ۲۰۰۰ دلار از بانک وام می‌گیرید. برخی از بانک ها حاضرند به شما این مبلغ را وام دهند به شرطی که سابقه خوبی در پرداخت وام داشته باشید.

با این حال، اگر مبلغی که می‌خواهید وام بگیرید خیلی زیاد باشد، ارائه وام بدون وثیقه برای آنها بسیار خطرناک است، حتی اگر امتیاز یا اعتبار خوبی داشته باشید. به عنوان مثال، اگر می‌خواهید ۳۰۰۰۰ دلار وام بگیرید، بانک‌ها معمولاً از شما می‌خواهند وثیقه‌هایی مانند خانه، وسیله نقلیه و غیره را برای کاهش ریسک ارائه دهید.

فلش لون اساساً وام‌های بدون وثیقه روی پلتفرم‌های دیفای هستند که نیازی به وثیقه، چک اعتباری، یا محدودیتی برای دریافت وام ندارند، مشروط بر اینکه بتوانید وام را در همان معامله بازپرداخت کنید. به گفته پلتفرم آوه، فلش لون «اولین گزینه وام بدون وثیقه در دیفای» هستند که برای توسعه‌دهندگان طراحی شده‌اند و به کاربران اجازه می‌دهند که سریع و به راحتی وام بگیرند.

آربیتراژ محبوب‌ترین مورد استفاده از وام‌های سریع است؛ زیرا به معامله‌گران اجازه می‌دهد از تفاوت قیمت‌ها در صرافی‌های مختلف درآمد کسب کنند. به عنوان مثال، اگر چین لینک LINK در یک صرافی ۳۰ دلار و در صرافی دیگر ۳۵ دلار باشد، کاربر می‌تواند از طریق فلش لون وام گرفته و سفارش جداگانه‌ای برای خرید ۱۰۰ LINK به قیمت ۳۰۰۰ دلار در صرافی اول انجام دهد، سپس همه آن‌ها را به قیمت ۳۵۰۰ دلار در صرافی دیگر بفروشد و پرداخت کند و وام ۳۰۰۰ دلاری را دریافت کند. در این مثال، کاربر می‌تواند ۵۰۰ دلار سود به جز کارمزد به‌دست آورد.

حمله وام سریع چگونه کار می‌کند؟

فلش لون به کاربر این امکان را می‌دهد که با سرمایه صفر هر چقدر که می‌خواهد وام بگیرد. به عنوان مثال، اگر می خواهید ۷۰۰۰۰ دلار اتریوم، وام بگیرید، یک پروتکل وام سریع آن را به شما می‌دهد، اما این بدان معنا نیست که دارایی برای شما است. شما باید کاری با وجوه قرض گرفته شده انجام دهید تا وام را بازپرداخت کنید و شاید مبلغ اضافی به‌دست آورید.

برای انجام این کار، فرآیند باید سریع اتفاق بیفتد و بدهی باید به موقع به پروتکل بازپرداخت شود، در غیر این صورت تراکنش معکوس خواهد شد. یک وام دهنده غیرمتمرکز به وثیقه از شما نیاز ندارد؛ زیرا توافق پرداخت بدهی شما توسط یک بلاک چین اجرا می‌شود. هکرها وام‌های آنی در یافتن راه‌هایی برای دستکاری بازار در حالی که همچنان از قوانین بلاک چین پیروی می‌کنند، پیشرفت می‌کنند.

مثال‌هایی از حمله فلش لون

بیایید سه مثال واقعی حمله وام سریع را بررسی کنیم تا ماهیت این حملات را بهتر درک کنیم.

• حمله پنکیک بانی (PancakeBunny Attack)

بیایید نگاهی به حمله فلش لون PancakeBunny هکرها کنیم. جدیدترین حمله وام سریع، مربوط به تاریخِ می ۲۰۲۱ در PancakeBunny است که در یک پلتفرم تجمیع‌کننده ییلد فارمینگ مبنی بر بایننس اسمارت چین، رخ داد. این پلتفرم مورد حمله وام سریع قرار گرفت و باعث شد ارزش توکن آن بیش از ۹۵ درصد کاهش یابد.

هکر ابتدا مقدار زیادی بایننس کوین را از طریق پنکیک سواپ وام گرفن و برای دستکاری قیمت رمز ارزهای USDT/BNB و BUNNY/BNB را در استخرهای پنکیک بانی استفاده کرد. این امر به هکر اجازه داد تا مقدار زیادی از BUNNY را بدزدد و آن‌ها را در بازار عرضه کند و باعث سقوط قیمت شد. سپس هکر بدهی خود را از طریق پنکیک سواپ بازپرداخت کرد.

داده ها حاکی از آن است که هکر توانسته با سودی نزدیک به ۳ میلیون دلار پروتکل را متحمل ضرر کند.

• هک پروتکل آلفا هومورا (Alpha Homora Protocol Hack)

بزرگترین حمله وام سریع در سال ۲۰۲۱ در ماه فوریه اتفاق افتاد، زمانی که پروتکل آلفا هومورا ۳۷ میلیون دلار با استفاده از Iron Bank، از پلتفرم وام‌دهی Cream خارج کرد. پروتکل فارمینگ با عملکرد لوریج با یک سری وام‌های سریع، ضرر کرد.

هکر به‌ظور مداوم از Iron Bank از طریق برنامه Alpha Homora وام گرفت و هر بار مقدار وام گرفته شده را دو برابر کرد. در یک فرآیند دو تراکنش انجام شد که در آن هکر هر بار وجوه را به Iron Bank وام می‌داد که به آن‌ها اجازه می‌داد در ازای دریافت Yearn Synth sUSD وام بگیرند.

سپس، هکر ۱٫۸ میلیون دلار یو اس دی کوین (USDC) از آوه از طریق فلش لون وام گرفت و سپس با استفاده از Curve آنها را با sUSD مبادله کرد. sUSD برای بازپرداخت وام سریع و وام دادن به Iron Bank مورد استفاده قرار گرفت که به آنها امکان می داد به طور مداوم وام بگیرند و تعداد بیشتری از آن‌ها را وام دهند و هر بار مقدار متناسبی از cySUSD دریافت کنند.

اساساً، هکرها این فرآیند را بارها تکرار کردند که به آنها اجازه داد مقادیر زیادی از Creamy cyUSD را که به نوبه خود برای وام سایر ارزهای دیجیتال از Iron Bank استفاده می‌کردند، به سرقت ببرند. از این رو، آن‌ها ۱۳Kرپد اتریوم (WETH)، ۳٫۶ میلیون یو اس دی کوین، ۵٫۶ میلیون تتر و ۴٫۲ میلیون دای ( DAI ) وام گرفتند.

همانطور که می بینید، فرآیند هک پروتکل آلفا بسیار پیچیده بو دو نیاز به یک سری مراحل دارد که باید بسیار سریع اتفاق بیفتد که گواهی بر این است که این هکرها تا چه حد پیش رفته‌اند.

• حمله فلش لون ApeRocket

حمله وام سریع در ژوئیه ۲۰۲۱ روی پلتفرم بایننس اسمارت چین و فورک Polygon ApeRocket رخ داد که برای کاربران پروتکل ۱٫۲۶ میلیون دلار هزینه داشت. دو حمله فلش لون به تجمیع کننده ییلد فارمینگ دیفای در آوه و پنکیک سواپ، در عرض چند ساعت از یکدیگر انجام شد.

هکرهای حمله فلش لون مقدار قابل توجهی از وجوه را در AAVE و CAKE قرض گرفتند و ۹۹٪ از وجوه را در خزانه پروتکل‌ها نگهداری کردند. سپس مبالغ زیادی به قرارداد خزانه فرستاده شد که منجر به استخراج تعداد زیادی توکن شد. سپس هکرها اقدام به سرقت این توکن‌ها کردند.

این حمله فلش لون باعث می‌شود توکن بومی ApeRocket، SPACE، ۶۳ درصد از کار بیفتد. پروتکل بیانیه‌ای رسمی در مورد حمله و برنامه آنها برای جبران ضرر به دارندگان SPACE صادر کرد.

چرا حمله فلش لون در دیفای رایج است؟

وام‌های سریع طرح‌هایی کم خطر، کم هزینه و با پاداش بالا هستند که آن‌ها را به ترکیبی خطرناک در ذهن هکرها تبدیل می‌کند.

در ادامه دلایل اصلی افزایش حمله وام سریع ارائه شده است:

• حمله فلش لون ارزان هستند

برخلاف ۵۱ درصد حملاتی که برای انجام آنها به منابع عظیم نیاز دارند، وام‌های سریع فقط به سه چیز نیاز دارند: رایانه، اتصال به اینترنت و مهمتر از همه، هوشمندی. ظاهراً هکرها باید برنامه ریزی کنند که چگونه حمله می‌کنند، اما اجرای آن فقط از چند ثانیه تا چند دقیقه طول می‌کشد. بنابراین، نیازی به سرمایه گذاری زیادی در زمان ندارد.

• حمله وام سریع کم خطر هستند

انجام هر گونه فعالیت مجرمانه مستلزم خطر است، اما تصور کنید که یک بانک را بدون نیاز به حضور فیزیکی در بانک سرقت کنید. یک سال و نیم گذشته ثابت شده است که چقدر راحت می‌توان از دزدی از پروتکل‌های DeFi خلاص شد.

در واقع، هیچ هکر فلش لون تاکنون دستگیر نشده است. این به این دلیل است که بیشتر آن‌ها به دلیل ماهیت شبکه‌های بدون مجوز و ابزارهای موجود برای ناشناس کردن هویت‌ها مانند Tornado Cash، پس از ناپدید شدن، ردی از خود به جا نمی‌گذارند.

چگونه از حمله فلش لون جلوگیری کنیم؟

با توجه به اینکه حملات فلش لون در حال افزایش هستند، هنوز راه‌حلی برای جلوگیری کامل آن وجود ندارد. با این حال برخی از کارها برای جلوگیری از وام سریع وجود دارد که با توجه به آن می‌توانید تا حدی از آن‌ها جلوگیری کنید:

• از اوراکل‌های غیرمتمرکز برای داده‌های قیمت استفاده کنید

بهینه‌ترین راه برای کاهش حمله فلش لون این است که پلتفرم‌های DeFi از اوراکل‌های قیمت‌گذاری غیرمتمرکز مانند چین لینک و بند پروتکل به جای استفاده از یک صرافی متمرکز برای تعیین قیمت‌ استفاده کنند. آلفا هومورا قبل از تصمیم به راه‌اندازی Alpha Oracle Aggregator خود در ماه می مجبور شد از این روش استفاده کند.

• برای تراکنش‌های ضروری از دو بلاکچین استفاده کنید

Dragonfly Research پیشنهاد کرده است که فلش لون را به جای یک بلاکچین از دو بلوک عبور دهند. با این حال، این یک راه حل کامل نیز نیست؛ زیرا در صورت طراحی نادرست، کاربر به سادگی می‌تواند به هر دو بلوک حمله وام را آغاز کند. همچنین، این امر می‌تواند به شدت بر رابط کاربری پروتکل‌های دیفای تأثیر بگذارد؛ زیرا تراکنش‌ها دیگر همزمان نخواهند بود.

• از ابزارهای تشخیص وام سریع استفاده کنید

یکی از بزرگترین عواملی که کاربران را قادر می‌سازد تا از حملات وام‌های سریع جلوگیری کنند، تأخیر در زمان پاسخگویی از سوی توسعه‌دهندگان پلتفرم‌های دیفای است.

OpenZeppelin اخیراً برنامه‌ای به نام OpenZeppelin Defender راه‌اندازی کرده است که به مدیران پروژه امکان می‌دهد سوءاستفاده‌های قرارداد هوشمند و سایر فعالیت‌های غیرمعمول را شناسایی کنند که به آن‌ها اجازه می‌دهد به سرعت پاسخ دهند و حملات را خنثی کنند. طبق پست وبلاگ آن‌ها، این ابزار قبلاً توسط تیم‌های Synthetix ،Yearn و Opyn یکپارچه شده است.

جمع بندی

حمله فلش لون در صنعت دیفای رایج هستند. علی‌رغم تمام راه‌حل‌های پیشنهادی، باید توجه داشته باشیم که فناوری دیفای هنوز به طور کامل توسعه نیافته است. تنها راهی که توسعه‌دهندگان می‌توانند با آن کنار بیایند این است که راه‌حل‌هایی را که امروز دارند به حداکثر برسانند و اگر کار نکردند، هر بار که مورد حمله قرار می‌گیرند چیز جدیدی یاد می‌گیرند.

نباید از شرکت در پروژه‌های دیفای مانند استیکینگ، ییلد فارمینگ و استخراج نقدینگی دلسرد شوید؛ زیرا این پروژه‌ها نیز فرصت‌های عظیمی را ارائه می‌دهند. علاوه بر وام‌های سریع، پروتکل‌های وام دهی DeFi دیگری نیز وجود داردکه می‌توانید از آن‌ها استفاده کنید.

فقط به یاد داشته باشید که خطرات مربوطه را به دقت در نظر بگیرید و هرگز بیش از توان مالی خود سرمایه‌گذاری نکنید.