Τις τελευταίες τριάντα ημέρες, μπαράζ κυβερνοεπιθέσεων σε αποκεντρωμένα πρωτόκολλα (άδειασμα των liquidity pools) κατέστησαν τους χάκερς πλουσιότερους κατά 45 εκατομμύρια δολάρια. Σε αυτό το άρθρο θα αναλύσουμε πως πραγματοποιούνται οι κυβερνοεπιθέσεις “Price Oracle Exploit” και πως η βιομηχανία των κρυπτονομισμάτων θα ξεπεράσει αυτό το πρόβλημα.
Τα δίκτυα blockchain δεν έχουν την δυνατότητα να λαμβάνουν από μόνα τους πληροφορίες για το τι γίνεται στον έξω κόσμο, παρά μόνο να επαληθεύουν συναλλαγές που πραγματοποιούνται εντός δικτύου. Ένα δίκτυο μπορεί να γνωρίζει εάν ο «X» έστειλε ένα token στον «Υ», ωστόσο δεν μπορεί να γνωρίζει την τιμή διαπραγμάτευσης του Χ την ώρα της αποστολής. Για αυτές τις πληροφορίες, χρησιμοποιούμε τα oracles, που κάνουν τα δίκτυα blockchain πιο έξυπνα, τροφοδοτώντας με πληροφορίες από τον φυσικό κόσμο.
Όλες αυτές οι επιθέσεις στα πρωτόκολλα αποκεντρωμένης οικονομίας ( Decentralized Finance) είχαν κοινή αφετηρία. Κατάφεραν να αλλοιώσουν την πραγματική αξία μιας συναλλαγής στον φυσικό κόσμο, και να καταφέρουν να αποκομίσουν τα συγκεκριμένα assets με πολύ μεγάλη έκπτωση. Ένα αντίστοιχο παράδειγμα θα ήταν να μπορούσαμε να πάμε σε ένα κατάστημα ηλεκτρικών συσκευών, να πάρουμε ένα iPhone και να καταφέρουμε να αλλάξουμε την τιμή στην ταμειακή μηχανή ώστε να εμφανίζει 5 ευρώ. Σε ένα κατάστημα, ακόμα και να τα καταφέρναμε, αυτό θα κινούσε πιθανώς υποψίες στην ταμία που θα έψαχνε γιατί δείχνει τόσο φθηνά η συσκευή. Ωστόσο σε ένα ψηφιακό σούπερ μάρκετ (όπως αυτά θα έχουμε στο άμεσο μέλλον) η μηχανή θα εμφάνιζε στο τέλος σας ευχαριστούμε για την συναλλαγή σας, και θα μπορούσατε να φύγετε με το νέο σας κινητό που πληρώσατε πέντε ευρώ!
Στο δίκτυο Ethereum ένα αντίστοιχο παράδειγμα θα ήταν το παρακάτω:
-Καταθέτετε $ΕΤΗ ενώ η τιμή του είναι $600
-Αλλοιώνετε την αξία που εμφανίζει το oracle ώστε αυτό να φαίνεται ότι η αξία του ενεχύρου σας είναι $1200
-Δανείζεστε ένα stablecoin πχ το USDC
-Επαναφέρετε την αξία στο oracle στην κανονική τιμή δηλαδή τα $600
-Αποπληρώνετε το δάνειο σας (τα $600) και το επιτόκιο, και έχετε φύγει με τα υπόλοιπα $600
Παρόλο που η κάθε κυβερνοεπίθεση διαφέρει μερικώς, το παραπάνω παράδειγμα είναι ενδεικτικό του τι έγινε σε έξι εφαρμογές αποκεντρωμένης οικονομίας στο Ethereum.
Τα παρακάτω πρωτόκολλα έπεσαν θύμα κυβερνοεπίθεσης:
Harvest ($24 εκατ.), Value DeFi ($6 εκατ.), Cheese Bank ($3 εκ), Eminence ($16 εκατ,), Origin Protocol ($7 εκατ.), Akropolis ($2 εκατ.)
Πως μπορεί να πείσει κανείς μια εφαρμογή αποκεντρωμένης οικονομίας πως η τιμή ενός asset είναι διαφορετική από την πραγματική της ;
Αρχικός κανόνας για κάποιον που θέλει να εκμεταλλευτεί μια τέτοια κυβερνοεπίθεση είναι να δει από που λαμβάνει τις πληροφορίες για την αξία διαπραγμάτευσης μια πλατφόρμα. Ο σκοπός του χάκερ είναι να δημιουργήσει τις συνθήκες, ώστε όντως έστω και στιγμιαία να δημιουργήσει στην αγορά ακραίες συνθήκες. Και επειδή οι περισσότεροι δεν έχουν κάποια εκατομμύρια διαθέσιμα, υπάρχουν τα flash loans. Αυτά είναι δάνεια που απευθύνονται κυρίως σε προγραμματιστές, οι οποίοι βρίσκουν ευκαιρίες arbitrage μεταξύ δύο πρωτοκόλλων, και πρέπει να επιστρέψουν το δανειζόμενο ποσό μέσα σε μία συναλλαγή. Εάν ένα βήμα της συναλλαγής αποτύχει, τότε ακυρώνεται η όλη διαδικασία. Για παράδειγμα μέσα σε ένα smartcontract: Να δανειστεί ένα ποσό Χ - Να πωλήσει το Χ για Υ - Να πωλήσει το Υ για Χ σε άλλη πλατφόρμα (+ διαφορά) και να επιστρέψει το δανειζόμενο ποσό.
Οι χάκερς χρησιμοποιούν τα δάνεια κατά τον παρακάτω τρόπο:
Δανείζονται ένα πολύ μεγάλο ποσό ( δεν χρειάζεται κάποιο ενέχυρο), αυξάνουν ή μειώνουν την τιμή σε μια πλατφόρμα (πουλώντας ή αγοράζοντας ένα asset) - Δανείζονται χρήματα- Η τιμή επανέρχεται - Αποπληρώνουν το flashloan, και τα υπέρογκα ποσά που έχουν αποκομίσει.
Σε επόμενα άρθρα, θα δούμε πως αυτό διορθώνεται με νέες γενιές πρωτοκόλλων, την αγορά των blockchainoracles, και την αποκεντρωμένη ασφάλεια!
Αποποίηση Ευθύνης
Το υλικό αυτό παρέχεται για πληροφοριακούς και μόνο σκοπούς. Σε καμιά περίπτωση δεν πρέπει να εκληφθεί ως προσφορά, συμβουλή ή προτροπή για την αγορά ή πώληση των αναφερόμενων προϊόντων. Παρόλο που οι πληροφορίες που περιέχονται βασίζονται σε πηγές που θεωρούνται αξιόπιστες, ουδεμία διασφάλιση δίνεται ότι είναι πλήρεις ή ακριβείς και δεν θα πρέπει να εκλαμβάνονται ως τέτοιες.
