Розуміння Термінових позик: Найцікавіша, але ризикована інновація DeFi

TL;DR Уявіть собі, що ви позичаєте гроші без застави, перевірок кредитоспроможності чи особистих гарантій — єдина умова: ви повинні повернути їх протягом тієї ж транзакції в блокчейні. Це те, що дозволяють флеш-кредити. Хоча концепція здається непрактичною, вони відкривають можливості арбітражу та виявляють критичні вразливості в DeFi протоколах. Проте вони також демонструють, як легко зловмисники можуть експлуатувати слабо спроектовані смартконтракти.

Вступ: Парадокс позик без забезпечення

Рух децентралізованих фінансів обіцяє порушити традиційне банківське обслуговування, будуючи бездозвільні фінансові системи на блокчейн-мережах. Поза простими грошовими переказами, які започаткував Bitcoin, DeFi вводить більш складний рівень: бездокументне кредитування, децентралізовані біржі та алгоритмічні стейблкоїни, які відстежують ціни реальних активів.

У межах цієї екосистеми, миттєві кредити представляють одну з найпарадоксальніших інновацій. Вони кидають виклик традиційній мудрості щодо кредитування: як можна безпечно позичити гроші, не знаючи позичальника? Як можна забезпечити повернення без забезпечення? Відповідь полягає в контрактах, які виконуються кодом, і атомарному характері транзакцій на блокчейні.

Це дослідження заглиблюється в механіку флеш-кредитів, їх законні застосування та тривожні атаки, які вже їх експлуатували.

Традиційне кредитування: Швидкий вступ

Щоб зрозуміти, що робить флеш-кредити революційними, корисно зрозуміти звичайні структури кредитування.

Беззаставне кредитування та оцінка кредитоспроможності

unsecured loan не вимагає жодних застав—тільки обіцянки повернути. Банки оцінюють вашу кредитоспроможність через кредитні рейтинги та історію платежів. Якщо ви надійно погасили попередні борги, вони вважають, що ви зробите це знову і позичать вам гроші під відсоткову ставку, пропорційну сприйнятих ризику.

Розгляньте можливість позичити $3,000 у друга для термінової покупки. Якщо цей друг довіряє вашому характеру, він може не стягувати відсотки. Однак незнайомець вимагатиме або заставу, або підтвердження вашої надійності. Фінансові установи вимагають перевірки кредиту для оцінки цього. Ті, кого вважають надійними, отримують кращі ставки; інші стикаються з великими відсотковими ставками або взагалі відмовою.

Забезпечене кредитування через заставу

Для більших кредитів навіть хорошого кредиту може бути недостатньо. Кредитори вимагають заставу - актив, який ви втрачаєте у разі невиконання зобов'язань. Це зменшує їх ризик. Наприклад, позика в 50,000 $ на автомобіль зазвичай вимагає застави цього транспортного засобу. Якщо ви не зможете повернути гроші, кредитор забирає і продає його, щоб відшкодувати збитки.

Застава є інструментом зменшення ризиків. Вона перетворює абстрактну обіцянку на конкретне право на ваші активи.

Як Флеш-Кредити Інвертують Модель Позик

Флеш-кредити обходяться без перевірок кредитоспроможності та забезпечення. Натомість вони забезпечують повернення коштів за допомогою коду та атомарності транзакцій — принципу, згідно з яким транзакція або повністю завершується, або повністю зазнає невдачі, скасовуючи всі зміни.

Механіка: Трирівнева транзакція

Флеш-кредит працює в межах однієї транзакції блокчейну, структурованої в три фази:

1. Отримати: Смартконтракт надає вам позичені кошти.
2. Виконати: Ви виконуєте будь-які дії з цими коштами — викликаєте інші смартконтракти, взаємодієте з протоколами, виконуєте угоди.
3. Погасити: Перед завершенням транзакції ви повинні повернути позику разом з комісіями.

Якщо повернення коштів не відбудеться, вся транзакція скасовується, ніби позика ніколи не відбувалася. З точки зору блокчейну, кредитор завжди зберігав свої кошти. Ця гарантія, що забезпечується кодом, усуває необхідність у заставі або оцінці кредитоспроможності.

Чому ця модель працює

Кредитори приймають нульове забезпечення, оскільки сам протокол гарантує повернення. Ви не можете зберегти позичені кошти, не повернувши їх — математика блокчейну цього не дозволяє. Невиконання зобов'язань не є можливим; це технічна неможливість. Це робить флеш-кредити надзвичайно низькоризиковими для кредиторів, не вимагаючи жодних даних про позичальника.

Чому хтось би позичав на секунди

Очевидне питання: що ви можете досягти в одній транзакції, що виправдовує миттєвий кредит?

Відповідь зосереджена на арбітражі—використанні цінових різниць між платформами. Припустимо, токен коштує $10 на одній децентралізованій біржі, але $10.50 на іншій. Купуючи 1,000 токенів на дешевшій платформі і продаючи їх на дорожчій, ви отримуєте $500 прибутку ( до витрат ). Масштабуючи це до 10,000 токенів, ви отримаєте $5,000—за умови, що ціни не обваляться через ваш обсяг торгів.

Зазвичай для виконання цієї угоди вам потрібно $100,000 капіталу. Флеш-кредити виключають цю вимогу. Ви позичаєте $100,000, виконуєте арбітражні угоди в межах однієї транзакції, повертаєте позику з відсотками та залишаєте собі різницю.

Практична реальність

В теорії це звучить привабливо. На практиці арбітражні маржі різко зменшилися:

• Транзакційні збори в Ethereum споживають невеликі прибутки.
• Конкуренція тисяч інших трейдерів змушує цінові диспропорції зникати за лічені секунди.
• Слизькість—рух ціни, спричинений вашим великим замовленням—зменшує прибутки.
• Інтерес на миттєвих кредитах ще більше зменшує вашу маржу.

Прибутковий арбітраж з використанням миттєвих кредитів вимагає знаходження справжніх перекосів цін, які витримують ці труднощі, що стає все більш рідкісним явищем.

Атакувальний вектор: Як флеш-кредити стали зброєю

Хоча флеш-кредити мають законні застосування, вони також стали інструментами для складних експлуатацій. Низька вартість позики величезних сум — значно вище, ніж те, що нападники зазвичай можуть собі дозволити — дозволила атаки, які раніше вимагали б величезного капіталу.

Перше велике використання

На початку 2020 року зловмисник використав кілька DeFi протоколів спільно. Атака розвивалася наступним чином:

Злочинець позичив велику кількість Ethereum через dYdX, а потім стратегічно розподілив частини по Compound та Fulcrum ( протокол, побудований на bZx). На Fulcrum вони продавали ETH в коротку проти обгорнутого Bitcoin, змушуючи Fulcrum купувати WBTC. Ця покупка пройшла через Kyber до Uniswap, найбільшого DEX Ethereum на той час.

Обмежена ліквідність Uniswap призвела до того, що велика покупка WBTC компанією Fulcrum значно збільшила ціну. Тим часом зловмисник отримав кредит Compound у WBTC, використовуючи початково позичений ETH, і відразу продав його на Uniswap за маніпульованою ціною — отримавши суттєвий прибуток.

Недолік? bZx покладався на цінові канали, які не враховували маніпуляції. Штучно завищивши ціну WBTC, зловмисник обманув протокол, дозволивши надмірне запозичення, в результаті чого отримав прибуток від цінового розриву, який він сам і створив.

Другий напад: Використання механіки стейблкоїнів

Через кілька днів bZx знову зазнав збитків. Цього разу зловмисник позичив ETH через флеш-кредит і конвертував його в sUSD (, стабільну монету, теоретично вартістю $1). Потім зловмисник розмістив величезне замовлення на купівлю sUSD на Kyber, що призвело до підвищення його ціни до $2.

Смартконтракти bZx, які не мали справжньої цінової інтелігентності, прийняли цю подвоєну оцінку. Атакуючий тоді позичив значно більше ETH, ніж зазвичай дозволено — їхні $1 sUSD тепер мали заявлену купівельну спроможність $2. Після погашення початкового флеш-кредиту вони втекли з суттєвими прибутками.

Системна вразливість

Ці атаки виявляють критичну слабкість: багато DeFi протоколів залежать від цінових оракулів—даних, що повідомляють ціни активів. Коли ці оракули маніпулюються або їм бракує резерву, зловмисники використовують цю прогалину.

Важливо, що флеш-кредити самі по собі не є вадними. Вони є механізмом фінансування атак, а не вразливостями, які експлуатуються. Реальні проблеми полягають у:

• Слабкий дизайн оракула
• Залежність від єдиних цінових потоків
• Недостатні перевірки сум позик відносно застави
• Відсутність засобів захисту проти екстремальних цінових коливань

Флеш-кредити демократизували доступ до маніпуляцій на ринку. Якщо раніше маніпуляція вимагала бути китом — людиною з сотнями мільйонів капіталу — флеш-кредити дозволили будь-кому отримати таку силу на кілька секунд. І, як було продемонстровано, кілька секунд цілком достатньо.

Оцінка ризику

Чи небезпечні флеш-кредити? Відповідь залежить від точки зору.

Для законних користувачів, вони пропонують цікаві можливості, коли простір DeFi зріє. Розробники поступово зміцнюють протоколи проти маніпуляцій з оракулами, впроваджують запобіжники та розробляють більш надійні цінові канали.

Для екосистеми, флеш-кредити самі по собі становлять мінімальний ризик. Вони є фінансовим примітивом—нейтральними за своєю суттю. Ризик виникає через помилкові реалізації в інших протоколах. Оскільки простір вчиться на минулих атаках, захист покращується.

Для атакуючих швидкі кредити залишаються привабливими саме тому, що вони дешеві та потужні. Однак підвищена обізнаність та кращі практики безпеки зменшують життєздатність експлуатації.

Висновок: Новий інструмент з дитячими хворобами

Флеш-кредити представляють інновацію, унікальну для блокчейн-фінансів—механізм кредитування, неможливий у традиційних системах. Вони є прикладом творчого підходу DeFi до фінансових примітивів, дозволяючи нові застосування, одночасно оголюючи вразливості протоколу.

Атаки 2020 року не були невдачами самих по собі флеш-кредитів, а були свідченням слабкостей в інших частинах екосистеми. Як тільки DeFi зріє, більш потужні проекти оркулів і більш суворі перевірки безпеки зменшать можливості для експлуатації. Флеш-кредити, ймовірно, еволюціонують у стандартний інструмент для легітимного арбітражу та інших застосувань, які розробники ще не вигадали.

Поки що вони слугують як застереження: у бездозвільній екосистемі кожна нова можливість може бути використана як зброя—якщо протоколи не будуть побудовані з достатньою rigor та захистом в глибину з самого початку.