Gate.io ブログ DeFiイノベーションのフラッシュローンが、なぜハッカーの攻撃道具になったのか？

DeFiイノベーションのフラッシュローンが、なぜハッカーの攻撃道具になったのか？

31 May 18:53

5月28日、北京時間、BSCチェーンのAMMプロトコル（自動マーケットメーカー）であるBurgerSwapは、フラッシュローンによる攻撃を受け、700万米ドル以上を失ったことを確認しました。

30日には、BSCチェーンのマルチ戦略収益最適化AMMプロトコルであるBelt Financeも、合計8回のフラッシュローン攻撃を受けたことを確認しました。攻撃では合計4つのプールが影響を受け、損失は620万米ドルを超えました。

5月以降、BSCチェーン上の合計13のプロジェクトが攻撃され、合計で2億6,000万ドル以上の損失が発生しました。

2021年1月にPeckShieldが発表した統計によると、2020年には60回のDeFi攻撃が発生し、合計で2億5,000万ドル以上の損失が発生します。DeFiプロトコルの人気が高まる一方で、頻繁なフラッシュローン攻撃により、トレーダーはDeFiのセキュリティ問題を再評価する必要があります。

フラッシュローンの起源

暗号通貨市場の発展は、従来の金融融資のようなサービスをもたらしました。従来のローンと同様に、借り手はローンを申請するために担保、つまり暗号通貨を入れる必要があります。ローンが終了した後、借り手は借りたコインと合意された利息を返済し、それは各貸し手に分配されます。

従来の金融機関は、一般的に、貸付時にデフォルトリスクと流動性リスクという2つの主要なリスクに直面しています。前者はしばしば貸し手の棄権またはローンの返済不能を指し、後者は機関があまりにも多くのローンを行い、借り手が期限内にローンを返済できず、結果として独自の事業を遂行するための機関。暗号通貨市場での貸付にも、これら2つの大きなリスクがあります。

これら2つのリスクを軽減するために、フラッシュローン（フラッシュローン）の概念は2018年にMarbleプロトコルによって最初に提案され、その後2つの取引プラットフォームAaveとdYdXの台頭で徐々に普及し、徐々にブロックチェーンユーザーに参入しました2020年に。「スマートコントラクトバンク」であると主張するマーブルによって提案されたフラッシュローンの概念は、当時は非常にシンプルでありながら非常にスマートなDeFiイノベーション、つまりスマートコントラクトによるゼロリスクローンでした。
現在、ほとんどすべてのDeFiプロジェクトがイーサリアムブロックチェーンで実行されているため、フラッシュローンの対象は主にイーサリアムに基づくプロジェクトです。

フラッシュローンの仕組みフラッシュローン

フラッシュローンの仕組みフラッシュローンを使用すると、トレーダーは特定のスマートコントラクトプールから利用可能な資産額を担保なしで借りて、同じトランザクション内で利息を付けてローンを返済できます。

同じトランザクションで借り、使用し、返済しますか？従来の金融市場では起こり得ませんが、暗号通貨市場では確かに可能です。フラッシュローンプロセスでは、トランザクションは「アトミックな方法」で実行される一連の操作を指します。つまり、すべてのステップが実行されるか、トランザクションがロールバックされ、どのステップも実行されず、すべてのステップが分割できません。これらのすべてのステップは、トランザクション（ブロック）に記録されます。

イーサリアムの現在のブロック速度は13.52秒です。つまり、現在のフラッシュローンプロセスでの借り入れ、使用、返済は、13.52秒以内に完了する必要があります。借り手が期限内に返済を完了できないことが判明した場合、取引は再開されます。

フラッシュローンの適用シナリオ

マーブル議定書がフラッシュローンの概念を提案したとき、ユーザーはマーブルからお金を借り、分散型取引所でコインを購入し、別の分散型取引所でより高い価格でコインを販売し、それを返すことができると公に指摘しました。差額を稼ぎます。したがって、フラッシュローンの主なアプリケーションシナリオの1つは、裁定取引です。

UniswapとSushiswapのDAI/USDTプールの間に価格差があることがわかった場合、1DAIはUniswapで1.5USDTに交換でき、0.5DAIはSushiswapで1.5USDTで購入でき、裁定取引は次の操作になります：

1.フラッシュローンAaveでDAIを100個借りる
2. Sushiswapで100個のDAIを300USDTに換える；
3. Uniswapで300USDTを200DAIに換える；
4. Aaveに戻り、借りた100個のDAIを返す；
5. 純利益が100DAIになる

実際の運用プロセスでは、ネットワークコスト、価格のスリッページ、先着順などの要素もあるため、見た目ほど単純ではありません。

さらに、フラッシュローンは担保の交換や自己清算のシナリオにも使用でき、運用プロセスは裁定取引プロセスと同様です。

フラッシュローンはハッカー攻撃の道具になる

さまざまな攻撃で、攻撃者は最初にフラッシュローンを使用して多額の資金を獲得し、次に一連の担保、ローン、取引などを通じて関連資産の価格を操作し、そして元金を返済します。つまり「ぬれ手で粟」で利益を儲けることができるのです。

2020年2月、bZxは最初のフラッシュローン攻撃を受けました。攻撃者は、複数のDeFiプロトコルを呼び出すことでゼロコストで1,193 ETHの利益を上げました（当時の合計値は340,000米ドルでした）。関連するブロックチェーンの記録によると、具体的なプロセスは次のとおりです：

1. フラッシュローンによるdYdXは10,000ETHを貸し出す
2. コンパウンドで5,500を担保にし、112WBTCを借りる
3. bZxを介して1,300ETHを支点に送信し、ETH/BTCトレーディングペアで5倍のレバレッジショートポジションを開く
4. ユニスワップの対応するプールで112WBTCを販売して6800ETHを取得する
5. 3200ETHと6800ETHをdYdxに返す

最初の攻撃からわずか3日後、bZxは2回目のフラッシュローン攻撃を受けました。攻撃者は2,388 ETH、つまり約644,000ドルの利益を上げたと推定されています。

DeFiがフラッシュローンに頻繁に攻撃される理由

現在、ユニスワップなどのDEX（分散型取引所）は、主に自動マーケットメーカーと価格オラクルを使用して、価格、為替レート、その他の機能を取得して報告しています。ただし、CEX（集中型取引所）とは異なり、DEXのデータはより独立しており、取引量と流動性の大幅な変化により資産プールの価格が変動しやすく、同じ取引の資産プール間で価格差が生じます。異なるDEX間でペアリングし、アービトラージスペースを作成します。

したがって、攻撃者がフラッシュローンを通じて多額の資金を借り、スマートコントラクトを使用して取引プラットフォームの為替レートを操作し、最終的に異なるプラットフォーム間の為替レートの差を裁定できる限り、攻撃者は「ゼロコスト」のリスクのない攻撃を行います。

フラッシュローンの攻撃者が一部を返す

2020年、Value DeFiプロトコルはTwitterで公に発表され、現在、フラッシュローン攻撃に抵抗するための最良のメカニズムを備えたDeFiプラットフォームであると述べました。
同じ年の11月、Value DeFiはハッカーによるフラッシュローン攻撃を受け、700万ドル以上の損失を出しました。

しかし、攻撃はハッカーの主な目的ではありませんでした。結局、ハッカーは200万DAIを返し、皮肉なメッセージを残しました。「フラッシュローンを本当に理解していますか？」

フラッシュローンは良いか悪いか？

フラッシュローン自体は確かに革新的な金融ツールであり、通常の状況では、デジタル通貨市場でさまざまな役割を果たしている参加者のニーズを満たし、資金の流れと価値の循環を促進することができます。しかし、すべてに2つの側面があります。現在、フラッシュローンは、攻撃の裁定取引のためにハッカーによって頻繁に使用されることが知られており、多くのトレーダーから批判されています。

フラッシュローン攻撃はDeFiエコシステムに資産損失を引き起こしますが、そのような攻撃はフラッシュローンサービスを停止する理由ではありません。結局のところ、それはさまざまな人々によってさまざまな結果で使用されます。さらに、フラッシュローン攻撃が頻繁に発生すると、現在活況を呈しているDeFiエコシステムが警鐘を鳴らし、その欠点に直面する可能性があります。欠点に直面し、継続的な改善を行うことによってのみ、エコシステム全体をより完全にすることができます。

著者：Gate.io 研究者：Gazer.C
*この記事は研究者の見解を表しており、投資アドバイスを構成するものではありません。
*この記事の内容はオリジナルであり、著作権はGate.ioにあります。転載が必要な場合は、著者と出典を明記してください。そうでない場合は、法的責任を負います。

運試しで箱を開いて $6666の報酬を獲得しよう

今すぐ登録

変動%の開始終了時間

上昇/下落カラー

DeFiイノベーションのフラッシュローンが、なぜハッカーの攻撃道具になったのか？

DeFiイノベーションのフラッシュローンが、なぜハッカーの攻撃道具になったのか？

言語/地域を選択

法定通貨