O ataque 'Flash Loan' DeFi que mudou tudo

Haseeb Qureshi é sócio-gerente da Dragonfly Capital, um fundo de capital de risco de Cripto transfronteiriço. Uma versão mais longa do artigo aparece em Médio.

Os empréstimos flash têm sido o centro das atenções ultimamente. Recentemente, dois hackers usaram empréstimos flash para atacar o protocolo de negociação de margem bZx, primeiro em umAtaque de US$ 350.000 e mais tarde em um ataque imitador de US$ 600.000.

Esses ataques foram, em uma palavra, magníficos. Em cada ataque, um atacante sem dinheiro instantaneamente tomou emprestado centenas de milhares de dólares deETH, enfiou-o por uma cadeia de protocolos on-chain vulneráveis, extraiu centenas de milhares de dólares em ativos roubados e então pagou seus enormes empréstimos de ETH . Tudo isso aconteceu em um instante — isto é, em uma única transação de Ethereum .

T sabemos quem eram esses atacantes ou de onde eles vieram. Ambos começaram basicamente com nada e saíram com centenas de milhares de dólares em valor. Nenhum deles deixou rastros para se identificar.

Na esteira desses ataques, tenho pensado muito sobre empréstimos rápidos e suas implicações para a segurança do DeFi. Acho que vale a pena pensar nisso em público.

Resumindo: acredito que empréstimos flash são uma grande ameaça à segurança. Mas empréstimos flash não vão desaparecer, e precisamos pensar cuidadosamente sobre o impacto que eles terão para a segurança do DeFi daqui para frente.

O que é um empréstimo rápido?

O conceito de empréstimo rápido foi inicialmente denominado porProtocolo de Mármoreem 2018. O Marble se comercializou como um “banco de contrato inteligente” e seu produto era uma inovação DeFi simples, mas brilhante: empréstimos de risco zero por meio de um contrato inteligente.

Como um empréstimo pode ter risco zero?

Os credores tradicionais assumem duas formas de risco. O primeiro é o risco de inadimplência: se o tomador fugir com o dinheiro, isso obviamente é uma droga. Mas o segundo risco para um credor é o risco de iliquidez: se um credor empresta muitos de seus ativos nos momentos errados ou T recebe os pagamentos em dia, o credor pode ficar inesperadamente ilíquido e não conseguir cumprir com suas próprias obrigações.

Empréstimos rápidos mitigam ambos os riscos. Um empréstimo rápido funciona basicamente assim: eu vou te emprestar tanto dinheiro quanto você quiser para essa única transação. Mas ao final dessa transação você deve me pagar pelo menos tanto quanto eu te emprestei. Se você não conseguir fazer isso, eu vou reverter automaticamente sua transação! (Sim, contratos inteligentes podemfaça isso.)

Simplificando, seu empréstimo flash é atômico. Se você não pagar o empréstimo, tudo é revertido como se o empréstimo nunca tivesse acontecido.

Algo assim só poderia existir em blockchains. Você não poderia fazer empréstimos rápidos em, digamos, BitMEX. Isso ocorre porque as plataformas de contratos inteligentes processam transações uma de cada vez, então tudo o que acontece em uma transação é executado em série como uma operação em lote. Você pode pensar nisso como o "tempo de congelamento" da sua transação enquanto ela está sendo executada. Uma exchange centralizada, por outro lado, pode ter condições de corrida de modo que uma parte da sua ordem não seja preenchida. No blockchain, você tem a garantia de que todo o seu código seja executado uma linha após a outra.

Então, vamos pensar na economia aqui por um segundo. Os credores tradicionais são compensados por duas coisas: o risco que estão assumindo (risco de inadimplência e risco de iliquidez) e pelo custo de oportunidade do capital que estão emprestando (por exemplo, se eu puder obter 2% de juros em outro lugar sobre esse capital, o mutuário deve me pagar mais do que os 2% sem risco).

Empréstimos flash são diferentes. Empréstimos flash não têm risco nem custo de oportunidade! Isso ocorre porque o mutuário “congelou o tempo” durante a duração do seu empréstimo flash, então, aos olhos de qualquer outra pessoa, o capital do sistema nunca esteve em risco e nunca foi onerado, portanto, não poderia ter rendido juros em outro lugar (ou seja, não tinha um custo de oportunidade).

Isso significa, em certo sentido, que não há custo em ser um credor flash. Isso é profundamente contraintuitivo. Então, quanto um empréstimo flash deveria custar no equilíbrio (ou seja, quando a demanda e a oferta do mercado se equilibram)?

Basicamente, empréstimos flash devem ser gratuitos. Ou, mais apropriadamente, deve haver uma taxa pequena o suficiente para amortizar o custo de incluir três linhas extras de código para tornar um ativo emprestável em flash.

Empréstimos flash não podem cobrar juros no sentido tradicional, porque o empréstimo fica ativo por tempo zero (qualquer APR * 0 = 0). E, claro, se os credores flash cobrassem taxas mais altas, eles seriam rapidamente superados por outros pools de empréstimos flash que cobrassem taxas mais baixas.

O empréstimo rápido torna o capital uma verdadeira mercadoria. Essa corrida para o fundo inevitavelmente resulta em taxas zero ou uma taxa nominal minúscula. A DYDX [plataforma de negociação] atualmente cobra taxas zero para empréstimos rápidos. A Aave, por outro lado, cobra 0,09 por cento sobre o principal para empréstimos rápidos. Suspeito que isso não seja sustentável e, de fato, sua comunidade tem apelou à redução das taxas para zero. (Observe que nenhum dos ataques que vimos usou o Aave como seu pool de empréstimos rápidos.)

Ataques flash têm grandes implicações de segurança

Cada vez mais, comecei a acreditar que o que os empréstimos flash realmente desbloqueiam são ataques flash — ataques intensivos em capital financiados por empréstimos flash. Vimos os primeiros vislumbres disso nos recentes hacks do bZx, e suspeito que isso seja apenas a ponta da lança.

Há duas razões principais pelas quais os empréstimos rápidos são especialmente atraentes para os invasores.

1. Muitos ataques exigem muito capital inicial (como ataques de manipulação de oráculos). Se você está ganhando um ROI positivo em US$ 10 milhões de ETH, provavelmente não é arbitragem — você provavelmente está fazendo alguma bobagem.

2. Empréstimos rápidos minimizam a contaminação para invasores. Se eu tiver uma ideia de como manipular um oráculo com US$ 10 milhões em ether, mesmo que eu possua tanto ether, talvez eu não queira arriscar com meu próprio capital. Meu ETH será contaminado, as bolsas podem rejeitar meus depósitos e será difícil lavá-lo. É arriscado! Mas se eu fizer um empréstimo rápido de US$ 10 milhões, quem se importa? É tudo vantagem. Não é como se o pool colateral do DYDX fosse considerado contaminado porque é de lá que meu empréstimo veio — a contaminação no DYDX simplesmente evapora.

Você pode não gostar que a lista negra de exchanges faça parte do modelo de segurança de blockchain hoje. É bem flexível e centralizada. Mas é uma realidade importante que informa o cálculo por trás desses ataques.

No Bitcoin papel branco, Satoshi afirmou queBitcoin (BTC) está seguro contra ataques porque:

“[O atacante] deveria achar mais lucrativo jogar de acordo com as regras […] do que minar o sistema e a validade da sua própria riqueza.”

Com empréstimos flash, os atacantes não precisam mais ter nenhuma pele no jogo. Os empréstimos flash mudam materialmente os riscos para um atacante.

E lembre-se, empréstimos flash podem acumular! Sujeito ao limite de GAS , você pode literalmente agregar cada pool de empréstimos flash em uma única transação (mais de US$ 50 milhões) e trazer todo esse capital trovejando para um único contrato vulnerável. É um aríete de US$ 50 milhões que agora qualquer um pode bater em qualquer pinata on-chain, desde que o dinheiro saia. Isso é assustador.

O que tudo isso significa a longo prazo?

Acredito que os ataques do bZx mudaram as coisas.

Este não será o último ataque relâmpago. O segundo ataque bZx foi o primeiro imitador, e suspeito que ele desencadeará uma onda de ataques nos próximos meses. Agora, milhares de adolescentes inteligentes das partes mais remotas do mundo estão cutucando todos esses legos DeFi, examinando-os sob um microscópio, tentando descobrir se há alguma maneira de realizar um ataque relâmpago. Se eles conseguirem explorar uma vulnerabilidade, eles também podem ganhar algumas centenas de milhares de dólares — uma quantia que muda vidas na maioria das partes do mundo.

Para protocolos, ataques flash significam que o modelo de ameaça agora foi alterado. Ser atingido por um ataque flash após os hacks do bZx será tão embaraçoso quanto ser atingido porreentrada depois do hack do DAO: você será motivo de chacota da Cripto. Você deveria ter previsto isso.

Por fim, esses episódios me fizeram pensar sobre um conceito antigo em Cripto: valor extraível pelo minerador (MEV). MEV é o valor total que os mineradores podem extrair de um sistema de blockchain. Isso inclui recompensas e taxas de bloco, mas também inclui formas mais maliciosas de extração de valor, como reordenar transações ou inserir transações desonestas em um bloco.

No fundo, você deve pensar em todos esses ataques flash como transações únicas no mempool que geram toneladas de dinheiro. Por exemplo, o segundo ataque bZx resultou em um lucro de $ 645.000 em ETH em uma única transação. Se você é um minerador e está prestes a começar a minerar um novo bloco, imagine olhar para as transações do bloco anterior e dizer a si mesmo... "espera, o quê? Por que estou prestes a tentar minerar um novo bloco por ~ $ 500, quando o último bloco contém $ 645K de lucro nele??"

Ainda estamos longe de ter uma arquitetura sustentável para construir o sistema financeiro do futuro.

Em vez de estender a cadeia, seria do seu interesse voltar e tentar reescrever a história de modo que você fosse o atacante flash. Pense nisso: essa transação sozinha valeu mais do que quatro horas de blocos de Ethereum honestamente minerados!

Isso é semelhante a ter um superbloco especial que contém 1.000 vezes a recompensa de bloco normal — assim como você espera, o resultado racional de tal superbloco deve ser uma pilha de mineradores competindo para deixar a ponta da cadeia órfã e roubar esse bloco para si.

No equilíbrio, todos os ataques flash devem ser extraídos pelos mineradores. (Observe que eles também devem acabar roubando toda a arbitragem e liquidações on-chain.) Isso, ironicamente, servirá como um impedimento contra ataques flash, já que deixará os invasores incapazes de monetizar suas descobertas dessas vulnerabilidades. Talvez, eventualmente, os mineradores comecem a solicitar código de ataque por meio de canais privados e paguem ao possível invasor uma taxa de descoberta. Tecnicamente, isso poderia ser feito sem confiança usando provas de conhecimento zero. (Estranho pensar nisso, certo?)

Mas isso é tudo muito ficção científica por enquanto. Os mineradores obviamente T estão fazendo isso hoje em dia.

Por que T ?

Toneladas de razões. É difícil, dá muito trabalho, a Máquina Virtual Ethereum é péssima para simular, é arriscado, haveria bugs que resultariam em fundos perdidos ou blocos órfãos, causaria um alvoroço e o pool de mineração desonesto poderia ter uma crise de RP e ser rotulado como um "inimigo do Ethereum". Por enquanto, os mineradores provavelmente perderiam mais em negócios e blocos órfãos do que ganhariam tentando fazer isso.

Isso é verdade hoje. T será verdade por muito tempo.

Isso empresta mais uma motivação para o Ethereum se apressar e fazer a transição para o Ethereum 2.0. O DeFi no Ethereum, embora incrível e hipnotizante, está absoluta e irrevogavelmente quebrado. O DeFi não é estável em uma cadeia PoW, porque todas as transações de alto valor estão sujeitas à reapropriação do minerador (também conhecida como ataques de bandidos do tempo).

Para que esses sistemas funcionem em escala, você precisa de finalidade — a incapacidade dos mineradores de reescrever blocos confirmados. Isso protegerá os blocos anteriores de serem reapropriados. Além disso, se os protocolos DeFi existirem em shards Ethereum 2.0 separados, eles T serão vulneráveis ​​a ataques flash.

Na minha opinião, os ataques relâmpago nos dão um pequeno, mas útil lembrete de que ainda é cedo. Ainda estamos longe de ter uma arquitetura sustentável para construir o sistema financeiro do futuro.

Por enquanto, empréstimos flash serão o novo normal. Talvez, a longo prazo, todos os ativos no Ethereum estarão disponíveis para empréstimos flash. Todas as garantias mantidas por exchanges, pela Uniswap, talvez todos os próprios ERC-20s.

Quem sabe — são apenas algumas linhas de código.