Навколо блокчейну №3: Аналіз атаки на bZx, вразливості DeFi та поточний стан криптодебетових карток

Аналіз атаки на bZx і вразливостей DeFi

DeFi (децентралізовані фінанси) змінює підхід до надання фінансових інструментів онлайн. Інструменти стають доступними, програмованими та практичними для всіх. Як інтернет створив змогу будь-кому розробляти, поширювати й програмувати інформацію, так DeFi відкрив ці можливості для грошей і фінансів.

Продукти DeFi не залежать від довіри до посередників. Вони діють глобально, є прозорими (код відкритий для перевірки) і незмінними (зміни можливі лише у разі програмного передбачення). Композиційність DeFi дозволяє поєднувати продукти та інтегрувати рішення, подібно до того, як елементи Lego об'єднуються для створення нових конструкцій.

Визначення контексту

У новому середовищі кожен може створювати фінансові застосунки. Це дає потужну та ліквідну мережу фінансових інструментів — сприятливий ґрунт для інновацій. DeFi, зокрема, запровадив Flash Loan — миттєву позику без ризику, яка дозволяє позичати мільйони доларів у межах однієї транзакції. Якщо позику не повернути до завершення транзакції, вся операція скасовується. Жоден капітал не наражається на ризик, і користувач може використовувати кошти для будь-яких цілей.

Що сталося під час атак на bZx?

bZx (також Fulcrum) — DeFi-платформа для токенізованого кредитування, позик і маржинальної торгівлі. Будь-хто може додати капітал до пулу bZx, взяти позику під заставу або відкрити довгу чи коротку позицію з кредитним плечем на інші активи. Платформа інтегрується з іншими DeFi-протоколами, забезпечуючи комплексні послуги та використовуючи композиційність DeFi.

Атака відбулася через одну складну транзакцію, у якій було позичено мільйони доларів через flash loan. Ці кошти спрямували через кілька DeFi-протоколів для маніпуляцій і експлуатації заставного пулу bZx. Послідовність подій виглядала так:

1. Зловмисник позичив 10 мільйонів доларів у ETH через flash loan на децентралізованому кредитному протоколі (Компонент №1) без застави.

2. П’ять мільйонів доларів у ETH використали для відкриття короткої позиції з плечем 5х на книзі ордерів ETH-wBTC на bZx (Компонент №2). bZx передала ордер агрегатору ліквідності (Компонент №3), який визначив найкращий курс і завершив угоду на децентралізованій біржі (Компонент №4). Це спричинило значне прослизання ціни (slippage), що підняло ціну wBTC утричі.

3. Решту 5 мільйонів доларів у ETH відправили на інший кредитний протокол (Компонент №5) і взяли позику у wBTC під заставу ETH.

4. Позичений wBTC продали за завищеною ціною на децентралізованій біржі.

5. Використовуючи прибуток з кроку 4 і кошти з кроку 2, зловмисник повністю повернув flash loan і завершив транзакцію.

Стратегія дала прямий прибуток у 71 ETH, а також відкриту позику на іншому протоколі на 1 200 ETH. Загальний чистий прибуток склав 1 271 ETH (на той час — 355 000 доларів США). bZx залишився з невигідною позикою, що і становить «збиток».

Атака стала можливою через можливість відкривати великі короткі позиції з плечем 5х на рідкій книзі ордерів із високим ризиком прослизання. Захисні механізми bZx не спрацювали через помилку, якою скористався зловмисник. Це призвело до великих втрат у заставному пулі bZx, тоді як інші компоненти працювали штатно й не зазнали збитків.

Наслідки та друга атака

Відразу після атаки команда bZx використала ключі супер-адміністратора для призупинення торгівлі та кредитування, усунувши основну помилку. Поки спільнота обговорювала експлойт і операції відновилися, відбулася друга атака з подібним підходом.

Друга атака повторила першу, але не потребувала обходу правил прослизання. Flash loan використали для штучного підвищення ціни Synthetix USD на децентралізованій біржі до 2 доларів (з 1 долара). Зловмисник вніс sUSD у bZx як заставу за завищеною ціною й взяв більше ETH, ніж дозволялося. Після цього він вивів позичені кошти, залишивши позику bZx невигідною, і отримав 2 378 ETH (після повернення flash loan), вартістю 630 000 доларів США на той час.

Ця атака мала характер oracle-експлойту, де маніпулюють довіреним значенням. Flash loan штучно підняв спотову ціну ETH-sUSD на децентралізованій біржі (oracle), яку bZx використав для оцінки застави.

Як мислити про безпеку в DeFi?

DeFi відкриває нові фінансові продукти, які формують складну взаємодію протоколів. Атаки наочно показують: програмовані фінанси містять помилки, особливо коли інновації змінюють межі можливого. Поєднання flash loan і композиційних протоколів DeFi створило новий клас вразливостей.

Відкриття нового класу атак зазвичай спричиняє подібні випадки. Вся екосистема стежить за цим і шукає аналогічні недоліки. Слід очікувати нових атак типу oracle і flash loan. Це процес еволюційного зміцнення DeFi.

Після атаки на DAO, яка виявила вразливість reentrancy, спільнота швидко виробила захист і позбулася подібних атак. Це — еволюційна міцність: вразливості знаходять, виправляють і простір стає сильнішим із кожним циклом.

DeFi не стане абсолютно безпечним, але можна підвищити стійкість екосистеми за рахунок багаторівневого захисту. Захист споживача й страхування мають розвиватися паралельно. Важливо: страховий продукт DeFi DeFi вперше здійснив виплату після атак на bZx — це позитивна подія для ринку.

Що з децентралізацією в DeFi?

Команда bZx використала ключі супер-адміністратора для зупинки кредитування і торгівлі, що показало наявність єдиного центру контролю. Це було необхідно для захисту пулу застави, але створює ризик у разі зловживання чи компрометації ключів. Усунення одноосібного контролю — ключова ідея криптовалют. Як діяти далі?

Децентралізація має градацію. Для нових DeFi-сервісів повна децентралізація одразу — нереальна та ризикована у разі виявлення вразливості. Протоколи мають поступово переходити до децентралізації після доведення безпеки.

Основні висновки

DeFi формує нові продукти для програмованих фінансів і розширює межі можливого. Темпи розвитку високі, але експлойти демонструють, наскільки інновації можуть бути руйнівними. Важливо зберігати системний підхід — атаки будуть, але це частина еволюції DeFi. Зрештою, з’явиться стійка екосистема з кращим захистом користувачів.

Стан криптовалютних дебетових карток

«Spending» (витрачання) завжди було основною рушійною силою корисності криптовалют з часів появи whitepaper Bitcoin від Сатоші. Інвестори у криптовалюти постійно шукають способи витратити активи — навіть на каву в місцевій кав’ярні. Криптовалютні дебетові картки закривають цю потребу; за функціями вони аналогічні до звичайних, однак списання відбувається з криптобалансу.

Історія

Запуск дебетових карток відбувався у кілька етапів, зокрема з появою першої картки на великій платформі у попередній період. Вона дозволяла клієнтам витрачати Bitcoin там, де приймали Visa. Особливість: картка випускалася через платіжного процесора, а не як white-label продукт.

Потім на ринок вийшли BitPay, Bitwala, Wirex і Coinsbank. У період ICO-буму TenX, Token Card (тепер Monolith) і Monaco (тепер crypto.com) розширили спектр пропозицій. TenX зібрав 80 мільйонів доларів за 7 хвилин на ICO; Token Card і Monaco — 12,7 і 27 мільйонів доларів відповідно, що відображає високий попит на криптокартки. Конкуренція зосереджувалася на нижчих комісіях, зручності UX і бонусах.

Головна проблема — небагато платіжних процесорів були готові емітувати криптодебетові картки: один обслуговував окрему картку, інший — решту. Прийняття було обмеженим — користувачі часто тримали Bitcoin через волатильність і перспективу зростання, а не для витрат. Зараз, з розвитком екосистеми та поширенням stablecoin, комплексні рішення дебетових карток готові до ширшого впровадження.

Останніми роками один процесор змінив стратегію та бренд, працюючи над новою карткою для ринку Великої Британії. Для більшості інших у попередній період Visa припинила співпрацю з процесором через «невідповідність правилам», що призвело до закриття карток.

У майбутньому криптодебетові картки можуть знову стати популярними, особливо з появою дохідних stablecoin (наприклад, USDC) на окремих платформах. Одна велика платформа нещодавно отримала статус Principal Member від Visa, що дає змогу напряму випускати карти в ЄС без спонсор-банку.

Головні новини: коментарі щодо ключових подій

Суперечливе оновлення Ethereum спричинило дискусію у спільноті

Ethereum нещодавно був у центрі дебатів щодо пропозиції оновлення майнінгу ProgPow (Progressive Proof of Work). Мета — надати змогу майнити Ethereum на споживчому обладнанні, мінімізуючи перевагу ASIC-майнерів (спеціалізованих пристроїв, що наразі домінують у майнінгу).

Впровадження ProgPow зробить майнінг доступнішим, потенційно підвищить децентралізацію та поверне Ethereum до початкової ідеї стійкості до ASIC.

У чому суперечка? ProgPow зменшує загальну потужність мережі (GPU слабші за ASIC), підвищуючи ризик 51% атак. Жоден алгоритм не забезпечує повної стійкості до ASIC; згодом спеціалізовані ASIC з’являться і для ProgPow. Дехто вважає, що ASIC потрібні для захисту PoW-мереж; жодна ланцюгова мережа на ASIC не зазнала 51% атаки.

Будь-який суперечливий форк вимагає обережного підходу. Ставки вищі, особливо із DeFi-активами, такими як USDC і USDT на Ethereum, що може вплинути на здатність мережі здійснювати суперечливі форки.

Попри тривалу історію, ProgPow нещодавно затвердили до впровадження. Через критику спільноти пропозицію знову відклали.

Tron звинувачують у «hostile takeover» (ворожому поглинанні) блокчейна Steem

Steemit — соціальна платформа, подібна до Reddit, — оголосила про партнерство для міграції на блокчейн Tron. Спільнота Steem занепокоїлася через потенційну надмірну концентрацію влади у Tron Foundation і застосувала soft fork, що обмежив голосування Tron.

Tron у відповідь координував із великими біржами, зокрема лідером ринку, проведення hard fork, який відновив її права й заморозив токени учасників голосування Steem. Спільнота Steem розцінила це як спробу ворожого поглинання.

Steem — протокол Delegated Proof of Stake, тому депозити на великих біржах були вирішальними для отримання Tron необхідних голосів. Голова однієї з найбільших бірж визнав схвалення hard fork Tron, проте заявив про свою необізнаність щодо конфлікту та пізніше розкритикував Tron за дії у поганій вірі.

Ситуація підкреслює складність управління блокчейнами. У dPOS-мережах діє правило більшості — Tron використав системні правила. Але економічна цінність залишається у користувачів. Спільнота Steem протидіє, відключає додатки, виходить із фонду й підтримує власних валідаторів.

Вплив бірж і кастодіальних сервісів на блокчейн-управління зростає. Оскільки більшість активів перебуває під їхнім контролем, їхня політична вага зростає. З розвитком ринку очікується поява нових інструментів управління на централізованих платформах.

Висновки щодо головних новин

Блокчейни — це базові трансформаційні технології, але по суті — масштабні комп’ютерні експерименти для всіх учасників. Жодна особа не володіє цими мережами — вони під контролем спільноти. Такі події — ключові випробування для блокчейн-управління. І Ethereum, і Steem формують важливі прецеденти. Усі повинні стежити за цим процесом.

FAQ

Що таке атака flash loan на bZx? Як зловмисники використали вразливості DeFi для отримання прибутку?

Під час атаки на bZx використали flash loan для маніпуляції цінами на Uniswap, що дозволило здійснювати короткі позиції з плечем і арбітраж. Зловмисники отримали близько 360 000 доларів США, скориставшись вразливостями цінових oracle і недостатнім захистом DeFi-протоколів.

Які типові вразливості та ризики безпеки існують у протоколах DeFi і як їм запобігати?

Протоколи DeFi наражаються на ризики reentrancy-атак і витоку приватних ключів. Для захисту необхідно застосовувати кращі практики у смартконтрактах, автоматизувати реагування на інциденти та проводити аудит у середовищах, максимально схожих на основну мережу.

Що таке flash loan (Flash Loan) і чому їх легко використовувати для атак?

Flash loan у DeFi — це незабезпечена позика, яку потрібно повернути в межах однієї транзакції. Її вразливість у тому, що вона надає доступ до великих сум без застави, дозволяючи зловмисникам маніпулювати цінами активів і експлуатувати кілька протоколів одночасно.

Які основні продукти й провайдери криптодебетових карток?

Серед лідерів ринку — BitPay і Revolut. Їхні картки дають змогу оплачувати покупки й знімати готівку у криптовалюті, забезпечуючи безпечні та зручні рішення для витрачання цифрових активів.

Які переваги та ризики криптодебетових карток?

Переваги: щоденне використання криптовалюти й миттєвий доступ до коштів. Ризики: волатильність цін, технічні недоліки безпеки та залежність від централізованих постачальників.

Які ризики безпеки притаманні ліквідності майнінгу та кредитним протоколам у DeFi?

Серед ризиків — помилки у коді, недосконалі правила й системні фінансові загрози. Проєкти повинні проводити ретельний аудит, впроваджувати надійні системи контролю ризиків і забезпечувати постійний моніторинг для запобігання маніпуляціям ринком та кризам ліквідності.

Як DeFi-проєкти зміцнили захист після інциденту з bZx?

DeFi-протоколи впровадили оновлення з time-lock, посилили аудит і перевірки, а також підвищили децентралізацію управління для зниження майбутніх ризиків.

Які основні обмеження й тарифи криптодебетових карток?

Криптодебетові картки зазвичай мають низькі комісії за транзакції, але встановлюють добові ліміти на витрати й зняття. Розмір тарифів і обмежень залежить від конкретної картки. Перед використанням важливо перевірити перелік підтримуваних криптовалют.