فلش لون (Flash Loan) چیست؟ آشنایی با وام بدون وثیقه

نحوه مشاهده و استفاده مردم از ارزهای دیجیتال از زمان توسعه مالی غیرمتمرکز (DeFi) تغییر زیادی کرده است، به خصوص با پلتفرم‌های مالی مستقل که انواع مختلفی از وام‌های کریپتو را ارائه می‌دهند، که به نوبه خود ارزش زیادی را هم برای وام گیرندگان و هم برای وام دهندگان فراهم می‌کند. یکی از انواع وام‌هایی که در اکوسیستم DeFi محبوبیت زیادی پیدا کرده است، فلش لون است، زیرا به وام گیرندگان اجازه می‌دهد تا به سرعت از فرصت‌های آربیتراژ بهره ببرند. فلش لون وجوه قرض گرفته شده را برای خرید یک دارایی کریپتو، فروش آن، بازپرداخت وام و کسب سود فراهم می‌کند.

متأسفانه، در حالی که این ایده عالی است و به خوبی کار می‌کند، کسانی هستند که از این شکل از وام استفاده می‌کنند. با ما همراه باشید تا درباره حملات فلش لون و نحوه جلوگیری از آن‌ها بیشتر بدانید.

فلش لون چیست؟

توسعه فضای وام دهی DeFi وام دهی کریپتو را بسیار محبوب کرده است. از آنجایی که آن‌ها از قدرت کامل فناوری‌های موجود در حال حاضر استفاده می‌کنند، فلش لون‌ها به شکل بسیار جذاب وام تبدیل شده‌اند.

اصطلاح فلش لون زمانی را توصیف می‌کند که وام گیرنده بدون نیاز به وثیقه وام می‌گیرد. ممکن است تعجب کنید که این چگونه ممکن است؟ با استفاده از قرارداد هوشمند یک پلتفرم، کل فرآیند وام دهی و بازگشت در یک تراکنش واحد روی بلاکچین انجام می‌شود.

این بدان معناست که وام گیرنده باید سریعا اقدام کند و در مدت کوتاهی وام را برگرداند. اگر وام دهنده به هر نحوی قصور کند، کل معامله باطل می‌شود انگار که اصلاً اتفاقی نیفتاده است.

اصل، ساده و بسیار کاربردی است. برخلاف وام‌های سنتی و تضمین شده، برای پردازش وام بدون وثیقه، نیازی به وثیقه، امتیاز اعتباری یا مدیریت ندارید. می‌توانید در عرض چند ثانیه مقادیر زیادی استیبل کوین را به دست آورید – و به همان سرعت از آن به نفع خود استفاده کنید.

این کاری است که برخی از معامله گران در پلتفرم‌های مختلف DeFi انجام می‌دهند. به عنوان مثال، کاربران Aave می‌توانند چنین وام‌هایی را دریافت کنند، از وجوه در یک فرصت آربیتراژ استفاده کنند، وام را پس دهند و سود را حفظ کنند.

فرآیند استقراض و وام دهی خودکار است و وقتی همه چیز درست شد، وام دهنده و وام گیرنده هر دو از وام سود می‌برند. اگر مشکلی پیش بیاید، معامله لغو می‌شود و هیچ سودی برای هیچ یک از طرفین وجود ندارد.

فلش لون‌ها چگونه کار می‌کنند؟

به عبارت ساده، در یک فلش لون، وجوه قرض گرفته می‌شود و در عرض چند ثانیه و در یک تراکنش واحد بازگردانده می‌شود.

قرارداد هوشمند شرایط را تعیین می‌کند و معاملات فوری را از طرف وام گیرنده با استفاده از سرمایه وام داده شده انجام می‌دهد. اگر فلش لون سود داشته باشد، معمولاً کارمزد 0.09٪ دریافت می‌شود.

در پلتفرمی مانند Aave، فلش لون‌ها معمولاً به این ترتیب کار می‌کنند:

• وام گیرنده برای وام فوری در Aave درخواست می‌کند.
• وام گیرنده منطق مبادلاتی را برای کسب سود ایجاد می‌کند، مانند فروش، خرید DEX، معاملات و غیره.
• وام گیرنده وام را بازپرداخت می‌کند، سود می‌کند و کارمزد 0.09٪ را می‌پردازد.

اگر هر یک از شرایط زیر رخ دهد، معامله معکوس می‌شود و وجوه به وام دهنده بازگردانده می‌شود:

• وام گیرنده سرمایه را بازپرداخت نمی‌کند.
• معامله منجر به سود نمی‌شود.

شرایط فوق نشان می‌دهد که آنچه در قرارداد هوشمند تعیین شده بود برآورده نشده است. به این ترتیب، وجوه بلافاصله به وام دهنده بازگردانده می‌شود. از نظر تئوری، فلش لون‌ها یک گزینه کم خطر برای وام گیرنده و وام دهنده است. آن‌ها معمولاً به عنوان راهی آسان و کم خطر برای بازی با نقدینگی در نظر گرفته می‌شوند.

آیا می‌توانید با فلش لون‌ها درآمد کسب کنید؟ Aave توصیه می‌کند که برای استفاده حداکثری از فلش لون‌ها، درک خوبی از اتریوم، برنامه نویسی و قراردادهای هوشمند داشته باشید. در حالت ایده آل، می‌توانید با فلش لون‌ها درآمد کسب کنید، به شرطی که قربانی حملات فلش لون نشوید. اگر درباره پروتکل‌هایی که می‌خواهید از آن‌ها قرض بگیرید و با آن‌ها معامله کنید، به‌طور کامل تحقیق کنید، به شما کمک می‌کند.

ویژگی‌های کلیدی وام‌های فوری

اگرچه وام‌های فوری ممکن است شباهت‌هایی با وام‌های سنتی داشته باشند، اما ویژگی‌های متمایز خاصی نیز دارند که آنها را منحصر به فرد می‌کند.

عدم وجود وثیقه

سیستم‌های وام مرسوم معمولا قبل از دادن وام درخواست وثیقه می‌کنند. نیازی به هیچ نوع وثیقه‌ای با وام‌های فوری نیست – قرارداد به سادگی اجرا نمی‌شود مگر اینکه بتواند فوراً با بهره بازپرداخت شود.

معاملات آنی

فلش لون‌ها به صورت آنی اجرا می‌شوند – به منظور استفاده از نوسانات سریع قیمت، در عرض چند ثانیه تکمیل و بازپرداخت می‌شوند.

کاربرد قراردادهای هوشمند

در مورد فلش لون‌ها، قراردادهای هوشمند بر معامله حاکم است و اطمینان حاصل می‌کند که وام قبل از انجام معامله بازپرداخت می‌شود.

آیا فلش لون‌ها بدون ریسک هستند؟

وقتی همه چیز طبق برنامه پیش می‌رود، فلش لون‌ها کاملاً بدون ریسک هستند. وام گیرنده و وام دهنده در صورتی می‌توانند از این معامله بهره مند شوند که تمام شرایط قرارداد هوشمند را رعایت کنند.

از دیدگاه وام دهنده، آن‌ها هرگز پولی را نمی‌دهند. همه اینها مصنوعی است و اگر وام گیرنده تمام اقدامات لازم را انجام دهد، بخشی از اطلاعات بلاکچین می‌شود. اگر وام گیرنده تخطی کند، همان معامله به سادگی رد می‌شود.

وام دهنده هنوز وجوه خود را دارد و وام گیرنده به کسی بدهکار نیست.

از سوی دیگر، وام گیرنده فقط می‌تواند سود داشته باشد. آن‌ها می‌توانند از وجوه قرض گرفته شده برای کسب سود از آربیتراژ در بازار کریپتو استفاده کنند. اگر معامله به پایان برسد، پول به سادگی به وام دهنده باز می‌گردد.

در حالت ایده آل، طراحی سیستم، استقراض، وام بدون ریسک و فوری را تضمین می‌کند. با این حال، برای اطمینان از اینکه همه چیز بدون ریسک است، قراردادهای هوشمند باید تمام جزئیات معامله را پوشش دهند. به این ترتیب، هیچ گونه حساسیتی برای سوء استفاده مهاجمان وجود ندارد.

بنابراین، وقتی صحبت از فلش لون به میان می‌آید، بزرگترین خطراتی که در حال حاضر اکوسیستم DeFi را تهدید می‌کند، نشت داده‌ها، به‌علاوه اشکال‌های قرارداد هوشمند است که این حملات را امکان‌پذیر می‌کند.

حتی اگر همه چیز در حال حاضر عالی به نظر نمی‌رسد، با گذشت زمان، این سیستم‌ها در نهایت ایمن خواهند شد. با پلتفرم‌هایی مانند Chainlink و OpenZeppelin، حملات فلش لون احتمالا بخشی از تاریخ خواهند شد.

حمله فلش لون چیست؟

حمله فلش لون سوء استفاده از امنیت قرارداد هوشمند یک پلتفرم خاص است که در آن مهاجم معمولاً وجوه زیادی را که نیاز به وثیقه ندارد قرض می‌کند. سپس آن‌ها قیمت یک دارایی کریپتو را در یک صرافی دستکاری می‌کنند و به سرعت آن را در صرافی دیگر می‌فروشند.

این فرآیند سریع است و مهاجم قبل از اتمام و ترک بدون هیچ ردی، چندین بار فرآیند را تکرار می‌کند.

آیا حملات فلش لون رایج هستند؟

با توجه به اینکه این فناوری هنوز در حال تکامل است، حملات فلش لون DeFi در حال حاضر رایج هستند. در حال حاضر، بیش از 70 اکسپلویت DeFi برای سرقت مبالغ هنگفت، به میزان حدود 1.5 میلیارد دلار استفاده شده است. این روند احتمالاً در سال‌های آینده نیز ادامه خواهد داشت، زیرا غیرقابل نفوذ کردن امنیت یک پلتفرم یک کار چالش برانگیز است.

اولین چالش به ناتوانی توسعه دهنده در پوشش تمام نقاط ضعف احتمالی مربوط می‌شود، زیرا فناوری بلاکچین نسبتاً جدید است. مشکل دیگر این است که سیستم‌ها به سرعت توسعه می‌یابند و پول زیادی در هر یک از این پروژه‌ها وجود دارد. ریسک‌ها زیاد است و بسیاری از توسعه دهندگان روش‌های مختلفی را برای یافتن باگ‌های سیستم امتحان می‌کنند. برخی از مهاجمان فلش لون از محاسبات نادرست استخرهای نقدینگی استفاده می‌کنند. برخی دیگر حملات ماینر یا اشتباهات کدگذاری هستند.

متأسفانه چیزی که همه چیز را ممکن می‌کند، ضعف است.

چالش قراردادهای هوشمند این است که آن‌ها کنترل کاملی بر پروتکل های DeFi دارند. هنگامی که مهاجمان با جزئیات دقیق نحوه عملکرد آن‌ها را درک کنند، می‌توانند کاستی‌های قرارداد را دستکاری کرده و از آن‌ها به نفع خود استفاده کنند.

این بدان معناست که امنیت DeFi یک تعادل ظریف است: مهارت سازنده قرارداد از یک طرف و هکر از طرف دیگر.

آسیب پذیری دیگر مربوط به داده‌های قیمت گذاری پلتفرم است. از آنجایی که صرافی‎های زیادی در سراسر جهان وجود دارد، یافتن یک قیمت واقعی برای دارایی‌های دیجیتال کریپتو عملا غیرممکن است. این تفاوت در قیمت چیزی است که تجارت آربیتراژ را جذاب می‌کند. به دلیل نوسانات قانونی قیمت، دنبال کردن بازارها راهی عالی برای کسب سود است. با این حال، حملات فلش لون قیمت‌ها را دستکاری می‌کنند و از تغییر ناگهانی در آن‌ها سوء استفاده می‌کنند.

هنگامی که مهاجم فلش لون را دریافت می‌کند، یک فروش مصنوعی ایجاد می‌کند که باعث افت شدید قیمت یک دارایی کریپتو می‌شود.

خوشبختانه، سیستم‌هایی برای جلوگیری از سوء استفاده از وام‌های بدون وثیقه وجود دارد که ما بلافاصله پس از بررسی چند نمونه از حملات فلش لون به آن‌ها خواهیم پرداخت.

نمونه‌هایی از حمله فلش لون

تاکنون ده‌ها مورد حمله فلش لون رخ داده است. در اینجا فقط برخی از بزرگترین آن‌ها آورده شده است.

Cream Finance

Cream Finance در سال 2021 چندین بار مورد حمله قرار گرفته است. یکی از بزرگترین سرقت‌ها مربوط به 130 میلیون دلار بود. مجرمان، توکن‌های نقدینگی CREAM را به ارزش میلیون‌ها دلار در مدت زمان نامعلومی به سرقت بردند. همه تلفات در زنجیره قابل مشاهده است و مقصران هنوز دستگیر نشده‌اند.

Alpha Homora

در فوریه 2021، هک پروتکل Alpha Homora منجر به ضرر 37 میلیون دلاری شد. مهاجم فلش لون نیز از Cream استفاده کرده است. Finance’s Iron Bank از طریق یک سری وام‌های فوری. Iron Bank بازوی وام دهنده پروتکل آلفا هومورا است.

هکرها این فرآیند را چندین بار تکرار کردند تا زمانی که CreamY USD (یا cyUSD) را جمع آوری کردند، سپس از توکن‌ها برای قرض گرفتن سایر ارزهای دیجیتال استفاده کردند. هک بسیار پیچیده بود و شامل مراحل متعددی بود. در اصل، مهاجم به شدت مخزن sUSD HomoraBank v2 را دستکاری کرده است.

آن‌ها یک سری تراکنش و فلش لون انجام دادند که به آن‌ها امکان سوء استفاده از پروتکل وام دهی بین HomoraBank v2 و Iron Bank را داد. می‌توانید حمله Alpha Homora را با جزئیات بیشتری بررسی کنید تا ببینید هکرها چه کردند.

علاوه بر این، آن‌ها از محاسبه غلط گرد کردن محاسبات وام در شرایطی که یک وام گیرنده وجود دارد، استفاده کردند.

dYdX

مواردی وجود دارد که بازی با پروتکل‌ها نیاز به زمان بندی مناسب و دستکاری قیمت‌ها دارد. این مورد در مورد سوء استفاده dYdX در اوایل سال 2020 بود. مهاجم از این پلتفرم برای دریافت فلش لون استفاده کرد، سپس وجوه را تقسیم کرد و آن‌ها را در دو پلتفرم معاملاتی Fulcrum و Compound استفاده کرد.

بخش اول در Fulcrum در مبادله از ETH به WBTC استفاده شد. در این فرآیند، شبکه Kyber از طریق DEX Uniswap سفارش را دریافت کرد. نکته مهم این بود که استخر نقدینگی پایین Uniswap قیمت WBTC را به طرز باورنکردنی بالا برد.

به طور همزمان، مهاجم از قسمت دوم وام در پلتفرم Compound برای دریافت فلش لون WBTC استفاده کرد. با افزایش سرسام آور قیمت در Uniswap، مهاجم به سرعت مبادله را انجام داد و سود غیرقانونی قابل توجهی به دست آورد.

PancakeBunny

در می 2021، یک هکر پلتفرم PancakeBunny را با سرقت نزدیک به 3 میلیون دلار مورد آزمایش قرار داد. هکر ابتدا از PancakeSwap برای دریافت وام بزرگ BNB استفاده کرد. در طول حمله، هکر جفت‌های تجاری BUNNY/BNB و USDT/BNB را دستکاری کرد.

پس از آن، یک فلش لون بزرگ، مقدار زیادی توکن BUNNY را در اختیار هکر قرار داد، که او بلافاصله آن‌ها را دامپ کرد، BNB را پس داد و همراه با سود ناپدید شد. کل این مصیبت منجر به کاهش تکان دهنده قیمت PancakeBunny از 146 دلار به 6.17 دلار شد.

چگونه از حمله فلش لون جلوگیری کنم؟

همان‌طور که حملات بیشتر رخ می‌دهد، کارشناسان امنیتی بیشتر در مورد سوء استفاده‌های مختلف فلش لون یاد می‌گیرند. تمام آسیب‌پذیری‌های موجود در نمونه‌های ذکر شده در بالا اصلاح شده‌اند و وقوع آن‌ها دو راه‌حل محبوب را به وجود آورده است.

اوراکل‌های قیمت گذاری غیرمتمرکز

از آنجایی که اکثر حملات فلش لون به دستکاری قیمت بستگی دارند، لازم است با این رویکرد با اوراکل‌های قیمت گذاری غیرمتمرکز مقابله کرد. نمونه‌های خوب Chainlink و Band Protocol هستند. این پلتفرم‌ها با ارائه قیمت دقیق ارزهای دیجیتال مختلف، تمامی پروتکل‌ها را ایمن نگه می‌دارند.

به عنوان مثال، حملات DeFi مانند آنچه برای dYdX رخ داد امکان پذیر نخواهد بود زیرا پروتکل‌ها قیمت خود را از یک DEX دریافت نمی‌کنند.

Alpha Homora اکنون از Alpha Oracle Aggregator برای جلوگیری از تکرار تاریخ استفاده می‌کند. با افزایش اندازه بازار DeFi، سیستم‌های بیشتری مانند این را مشاهده خواهیم کرد.

پیاده سازی پلتفرم‌های امنیتی DeFi

اکوسیستم DeFi از فناوری‌های پیشرفته‌ای استفاده می‌کند که چشم انداز سیستم‌های مالی بین المللی را تغییر می‌دهد. این نوع توجه بار بزرگی را بر کل سیستم وارد می‌کند.

خبر خوب این است که در حال حاضر پلتفرم‌های خاصی وجود دارد که با چالش‌های امنیتی فعلی مقابله می‌کند. OpenZeppelin مثال کاملی است. نقش آن در کل اکوسیستم محافظت از قراردادهای هوشمند و پلتفرم‌های DeFi به طور کلی است.

جدا از قابلیت‌های حسابرسی قرارداد هوشمند، راه‌حل‌هایی مانند Defender Sentinels محافظت مداوم در برابر حملات فلش لون را فراهم می‌کنند. توسعه دهندگان می‌توانند از این ابزار برای خودکارسازی استراتژی‌های دفاعی خود، توقف سریع کل سیستم‌ها و استقرار اصلاحات استفاده کنند.

این نوع واکنش سریع برای کاهش آسیب احتمالی که حمله فلش لون ممکن است متحمل شود ضروری است.

پلتفرم‌های بزرگی مانند Yearn.finance ،Foundation Labs ،dYdX ،Opyn ،The Graph ،PoolTogether و بسیاری دیگر در حال حاضر از این پلتفرم برای خنثی کردن حملات به سیستم‌های خود استفاده می‌کنند.

سخن پایانی

فلش لون‌ها یکی دیگر از موارد افزودنی عالی به اکوسیستم DeFi هستند. در حالی که آن‌ها در حال حاضر مستعد حمله هستند، جریان در آینده تغییر خواهد کرد.

همان‌طور که توسعه دهندگان قراردادهای هوشمند بهتری می‌نویسند و سیستم‌های بیشتری از ابزارهای امنیتی و اوراکل‌های غیرمتمرکز برای قیمت گذاری استفاده می‌کنند، شاهد کاهش تعداد حملات از سوی هکرها خواهیم بود.

اگر به این فکر می‌کنید که آیا فلش لون‌ها سرمایه گذاری خوبی هستند، ما معتقدیم که پاسخ مثبت است. به یاد داشته باشید، همیشه حداقل خطر حمله فلش لون وجود دارد، بنابراین هنگام وام دادن از ارزهای دیجیتال خود در پلتفرم‌های DeFi با احتیاط از آن‌ها استفاده کنید.