Ang dalawang pinakamalaking DeFi exploit sa nakaraang dalawang buwan ay may isang bagay na karaniwan. Gumamit sila ng isang kasangkapan na hindi umiiral sa XRP Ledger.
Nawala ng halos $10.8 milyon ang Thorchain noong Mayo 15 dahil sa isang cross-chain attack na nagbawas ng mga pondo sa Bitcoin, Ethereum, BSC, at Base. Ang Drift Protocol, isang decentralized perpetual exchange batay sa Solana, at ang KelpDAO, isang liquid restaking protocol sa Ethereum, ay nagkakaroon ng higit sa $600 milyong pagkawala lamang sa Abril.
Nawala ang higit sa $2.8 bilyon sa mga cross-chain bridge dahil sa mga pag-atake mula 2021, ayon sa Chainalysis. At isang malaking bahagi ng mga pagsasamantala na ito ay gumamit ng ilang bersyon ng parehong mekanismo: flash loans.
Ang flash loan ay isang tampok ng smart contract na nagpapahintulot sa isang trader na mag-borrow ng milyon-milyong dolyar nang walang collateral, sa kondisyon na babayaran ang loan sa loob ng parehong transaksyon. Ang mga legal na gamit ay kasama ang arbitrage sa pagitan ng exchange, pagpalit ng collateral nang hindi pagbabawas ng position, at mga liquidation bot na nagpapanatili ng solvency sa mga lending market.
Ang pattern ng pag-atake ay ang parehong mekanismo na pinuntahan sa maling direksyon.
Ang borrower ay kumukuha ng loan, ginagamit ang pera upang manipulahin ang oracle o mapalitan ang isang pool na may mahinang disenyo, kumikita mula sa manipulasyon, at i-repay ang loan, lahat bago matapos ang transaksyon. Kung may anumang hakbang na nabigo, bubuksan ang buong serye, kaya ang attacker ay walang panganib kundi ang gas fee.
Hindi pinapayagan ng XRP Ledger ang ganitong paggawa. Isang draf na pagbabago na isinumite sa XRPL standards repository noong nakaraang linggo, na nagmungkahi ng concentrated liquidity at StableSwap-style na mga pool para sa native automated market maker ng chain, ay naglalaman ng isang solong linya sa kabanata ng Security Considerations: "Imposible ang mga flash loan attack sa estructura. Ang XRPL transactions ay atomic nang walang composable intra-transaction calls."
Ibig sabihin nito na ang XRPL transactions ay either fully succeed o fully fail, tulad ng isang Ethereum transaction. Ngunit sa pagkakaiba sa Ethereum, hindi makapag-call ang isang XRPL transaction sa ibang contract habang ito ay nasa pagpapatakbo. Ang borrow-manipulate-repay sequence na nagtataglay ng flash loan attack ay nangangailangan ng hindi bababa sa tatlong nested operations sa loob ng isang single transaction envelope.
Ito ay isang makabuluhang arkiptektural na pagpili, at may kanyang gastos. Ang mga flash loan ay hindi lamang isang kasangkapan sa pag-atake. Naging bahagi na sila ng istruktura ng Ethereum DeFi, kasama ang Aave, dYdX, at iba pang pangunahing protokolo na nag-aalok sa kanila bilang isang produkto. Gumagamit ang mga arbitrage trader ng flash loans upang linisin ang mga pagkakaiba sa presyo sa pagitan ng mga exchange sa isang solong atomic na aksyon.
Gumagamit ang mga bot ng liquidation nito upang panatilihin ang kaligtasan ng mga posisyon ng over-collateralized lending. Gumagamit ang mga may-ari ng DeFi na may mataas na kasanayan nito para sa mga pagpapalit ng collateral na kung saan ay kailangan ng kapital na nakakabit sa loob ng ilang oras. Binabale-wala ng XRPL ang lahat ng ito sa palitan ng pagtatapos sa buong klase ng pag-atake.
Sa karamihan ng kasaysayan ng XRPL, ang kompromiso ay hindi nagkakahalaga dahil maliit ang DeFi footprint ng chain. Nagbabago iyon. Ang mga tokenized na real-world assets sa XRP Ledger ay lumampas na sa $3 bilyon sa kabuuang halaga, kabilang ang Ripple-JPMorgan-Mastercard-Ondo Finance pilot noong nakaraang buwan na nagproseso ng tokenized na pagbabayad ng U.S. Treasury sa ilalim ng limang segundo.
Ang draft na pagbabago sa AMM, kung ito ay matatanggap, ay tutupad ang pagkakaiba sa kapital na epiisensya na nagpapanatili sa XRPL DeFi sa likod ng ethereum, at nagbubukas ng chain sa mas malawak na hanay ng mga estratehiya sa pagtinda at yield.
Kung matatanggap ang pagbabago sa AMM at lumalago ang DeFi liquidity ng XRPL patungo sa isang halaga na maaaring i-deploy ng institutional capital sa malaking saklaw, ang tanong ay kung ang structural exploit resistance ay isang tunay na kompetitibong advantage o simpleng isang feature na ikinukwento ng mga institusyon sa halip na pumili kung saan nasaan ang liquidity.