Які DeFi-проєкти стали жертвами Flash Loan атаки?

Наприклад, у 2021 році флеш-кредити допомогли вкрасти близько 364 млн доларів із різних dApps. А все тому, що експрес-запозичення можна отримати у величезних розмірах за лічені хвилини, без застави та великих комісій. Потрібно лише швидко покрити борг (у тому ж блоці, в якому було взято кредит), щоб уникнути анулювання позики. Хоча такі кредити є доволі ризикованими, вони популярні серед трейдерів та арбітражників, які використовують позикові кошти для спекуляцій на ринку.

Однак вони приваблюють і хакерів, які вбачають у цьому безперешкодну можливість отримати капітал для маніпуляцій. Розглянемо останні найбільші атаки на уразливості DeFi-застосунків з використанням флеш-кредитів.

У березні 2023 року зловмисник зламав платформу криптокредитування Euler Finance та вкрав 170 млн доларів у різних криптовалютах та токенах. Після перемовин з командою протоколу він повернув практично всі кошти.

Спонсором атаки став флеш-кредит на 30 млн стейблкоїнів DAI від DeFi-платформи Aave. Його використали для внесення застави на платформу Euler Finance, щоб отримати інший кредит на суму 200 млн доларів.

Потім Хакер скористався недоліком функції смартконтракту “Donate To Reserve” в протоколі Euler Finance, за допомогою якої кошти користувачів переводилися на резервну адресу. Зловмисник виявив, що ця функція не аналізує ліквідність користувачів, які позичають кошти. Тому він легко створив для свого акаунта недостатнє кредитне плече, щоб платформа ліквідувала його смартконтракт разом з коштами із протоколу.

DeFi-протокол Beanstalk зламали у квітні 2022 року. З нього було викрадено 181 млн доларів, але після вирахування витрат на миттєвий кредит і благодійність у хакера залишилося 76 млн доларів. Частину одержаних криптовалют хакер перевів на гаманець Ukraine Crypto Donation.

Зловмисник оформив Flash Loan, щоб внести його до децентралізованого пулу для управління проєктом Beanstalk. Потім він скористався функцією смартконтракту “Emergency Commit”, щоб самостійно проголосувати за пропозицію щодо переказу коштів на свою адресу. Це стало можливим після того, як він отримав понад 70% голосів завдяки внесенню величезної суми депозиту.

Cream Finance зламали у жовтні 2021 року на суму 130 млн доларів.

Платформу атакували з двох адрес. Зловмисники взяли миттєві кредити у стейблкоїнах YUSD за допомогою сторонніх додатків, а потім скористалися вразливістю логіки розрахунків у децентралізованому сховищі Cream Finance, щоб подвоїти та вивести депозит.

Загалом вони викрали близько 1,5 млрд доларів у крипті, які через недосконалість сховища перетворилися на 3 млрд заставних цифрових активів майданчика. Частина коштів пішла на виплати флеш-кредитів, а заставний 1 мільярд на Cream Finance допоміг їм вивести 130 млн доларів у доступних криптовалютах.

Fei Protocol атакували у квітні 2022 року на загальну суму близько 80 млн доларів. Злому зазнали пули DeFi-платформи. Як і в попередніх випадках, хакер активував миттєвий кредит, щоб використовувати ці кошти на уразливій платформі.

Зловмисник скористався помилкою у функції смартконтракту, яка відповідає за запозичення. Також йому сприяла “дірява” система безпеки, яка дозволила здійснювати повторні атаки багато разів. Проблема Fei Protocol полягала в тому, що після одноразового внесення застави хакер отримав доступ до практично безлімітного кредитування. Він встиг відправити на свою адресу всі запозичені ETH та інші токени, перш ніж оновилися записи про його неплатоспроможність.

Протокол Pancake Bunny зазнав експлойту у травні 2021 року. Хакер маніпулював даними внутрішнього оракула, який відповідає за ціноутворення на платформі. Він здійснив вісім операцій, які принесли йому обгорнуті токени BNB на суму 45 млн доларів.

Зловмисник узяв експрес-кредит на біржі Pancake Swap на велику кількість BNB і почав штучно впливати на курси USDT/BNB та BUNNY/BNB на платформі Pancake Bunny. Внаслідок таких маніпуляцій вартість власного токена протоколу BUNNY впала на 95%.

Атака сталася через те, що Bunny Protocol розраховував вартість свопів, не покладаючись на сторонні блокчейн-оракули, що надають доступ до дійсних цін. Оперування лише внутрішніми ціновими даними — це сумнозвісна проблема DeFi.

Крім наведених DeFi-застосунків, збитків через Flash Loan атаки зазнали багато інших проєктів. Наприклад, Alpha Finance (~37 млн доларів), Spartan Protocol (~30 млн доларів), Xtoken (24 млн доларів), Elephant Money (~22 млн доларів), bEarn (18 млн доларів), Saddle Finance (11 млн доларів).