फ्लैश लोन अटैक, इनसे कैसे बचें

पिछले कुछ दिनों से, डेफी उद्योग में सबसे आम चर्चा शब्द फ्लैशलोन के हमले थे। कुछ लोग इसे बग कहते हैं, तो कुछ इसे वैचारिक दोष कहते हैं। फ्लैश लोन अनजाने में किए गए ऋण हैं जो उधारकर्ता उसी लेनदेन में वापस चुकाता है।

हमला आमतौर पर फ्लैश लोन लेने और फंड का इस्तेमाल करके कीमतों में हेरफेर करने और फिर इसका फायदा उठाने के लिए काम करता है। हम कदम से कदम को कवर करेंगे कि इसे कैसे निष्पादित किया गया था।

पहला हमला

  1. ट्रेडिंग प्लेटफॉर्म DyDx से 10,000 एथ लोन की राशि लें।
  2. इसे आधा, एक आधा को कंपाउंड और दूसरा bZx को भेजें।
  3. यौगिक आधे उधार 112 WBTC का उपयोग करें।
  4. BZx आधा, 112 WBTC का उपयोग करें।
  5. लिक्विडिटी पूल में कीमतों को कम करने के लिए Uniswap में कंपाउंड 112 WBTC भेजें।
  6. लघु इसे, लाभ, और ऋण का भुगतान 10,000 एथ ऋण।
साभार: इथरस्कैन

दूसरा हमला:

  • हैकर ने 7500 ETH का लोन लिया।
  • उन्होंने सिंथेटिक्स डिपो का उपयोग करके 3518 ETH को sUSD (लगभग 1 USD प्रत्येक) में बदल दिया।
  • अगले चरण में, उन्होंने Kyber पर sUSD के लिए 900 ETH के ऑर्डर खरीदे। Kyber आपूर्ति और मांग के आधार पर कीमतें निर्धारित करता है; एसयूएसडी की कीमत किबर में 2 अमरीकी डालर प्रति टोकन से अधिक हो गई है। सामान्य ज्ञान वाले किसी ने भी इन फुलाए हुए दरों पर sUSD नहीं खरीदा होगा, लेकिन "स्मार्ट" अनुबंधों में सामान्य ज्ञान की कमी है।
  • अगले चरण में, उन्होंने ETH उधार लेने के लिए अपने 1099841 sUSD को bZx में जमा किया।
  • bZx ने Kyber पर sUSD की कीमत की जाँच की और निर्णय लिया कि यह 6796 ETH को उधार देने लायक है। हालाँकि, 1099841 sUSD का मूल्य केवल ~ 4080 ETH है। Kyber में बढ़े हुए दरों के कारण, bZx स्मार्ट अनुबंध को ठगा गया। इस एकल ऋण की कीमत 6796–4080 = 2716 ETH हानि है।
  • अंत में, हैकर ने पहले चरण में लिए गए फ्लैश ऋण का भुगतान किया और 2378 ईटीएच लाभ (7500-3518–900 + 6796-7500) के साथ छोड़ दिया।

यहां, हैकर को 2378 ETH की गारंटी मिली, लेकिन bZx को 2716 ETH का नुकसान हुआ। बाकी 338 ईटीएच उन लोगों द्वारा अर्जित किया गया था जिन्होंने हैबर के 900 ईटीएच ऑर्डर को क्यूबर पर sUSD के लिए पूरा किया था।

ये इसलिए हुआ क्योंकि bZx ने एक ही स्रोत Kyber (तरलता प्रदाता) के डेटा पर भरोसा किया।

किसने खोई नैतिकता?

इसका bZx जिसने दोनों ही मामलों में फंड खो दिया है।

क्या हैकर ने हमले के लिए अपने फंड को जोखिम में डाला?

नहीं। हैकर ने फ्लैश लोन लेकर एकल लेन-देन में इन कदमों को अंजाम दिया। सबसे खराब स्थिति में, अगर यह काम नहीं करता है, तो उन्हें केवल गैस शुल्क का भुगतान करना होगा।

DeFi अब के रूप में एक बहुत ही नवजात अवस्था में है। विकेन्द्रीकृत बीमा, उधार, लीवरेजिंग आदि पर बहुत सारी परियोजनाएँ काम कर रही हैं।

इस तरह के अनुप्रयोगों को आमतौर पर संदर्भ के रूप में मूल्य फ़ीड का उपयोग करने की आवश्यकता होती है।

यदि संदर्भ के लिए DEX जैसे एक छोटे तरलता पूल का उपयोग किया जाता है, तो इसे आसानी से हेरफेर किया जा सकता है। ऑफ-चेन लिक्विडिटी पूल का उपयोग करना अधिक सुरक्षित है क्योंकि वे अधिक तरलता के कारण हेरफेर करने के लिए बहुत कठिन हैं।

यह डेटा ओरेकल के माध्यम से प्राप्त किया जा सकता है।

रेजर नेटवर्क ओरेकल का उपयोग करके ऐसे हमलों को कैसे रोका जा सकता है?

रेज़र एक सामान्य-उद्देश्य, विकेंद्रीकृत और अनुमति-रहित ऑरेकल नेटवर्क है। रेज़र का उपयोग बाहरी ऑफ-चेन लिक्विडिटी प्रदाताओं और एक्सचेंजों से कीमतें लाने के लिए किया जा सकता है। इन एक्सचेंजों में काफी अधिक तरलता है और हेरफेर करने के लिए बहुत कठिन हैं। ऐसे कई एक्सचेंजों का उपयोग करना हेरफेर को और भी मुश्किल बना सकता है।

रेज़र नेटवर्क iterated Schellingcoin तंत्र का उपयोग करता है, जो विभिन्न गेम-सैद्धांतिक हमलों के खिलाफ मजबूत है और इसकी तीव्र प्रतिक्रिया समय है, जिससे यह DeFi अनुप्रयोगों के लिए उपयुक्त है। रेज़र को डेफी के लिए सबसे सुरक्षित ओरेकल बनाने के बारे में अधिक विवरण यहां पाया जा सकता है।

हम आगे बढ़ने की उम्मीद करते हैं, डीएफआई एप्लिकेशन विकेंद्रीकृत ऑरेकल जैसे रेजर नेटवर्क का उपयोग करना शुरू कर देते हैं ताकि इस तरह के हमलों से बचने के लिए उनकी कीमत फीड हो सके।

क्या आप चाहेंगे

  • मीडियम पर हमें फॉलो करें
  • हमारे टेलीग्राम में शामिल हों
  • हमसे ट्विटर पर सूचित रहें
  • हमारे व्याख्याकार और श्वेतपत्र पढ़ें
  • नेटवर्क का अन्वेषण करें
  • हमारी वेबसाइट पर पधारें
  • DeltaOne, हमारे सिंथेटिक संपत्ति मंच का प्रयास करें
  • पहुंचें - [email protected]