Dua serangan DeFi terbesar dalam dua bulan terakhir mempunyai satu persamaan. Mereka menggunakan alat yang tidak wujud di XRP Ledger.
Thorchain kehilangan kira-kira $10.8 juta pada 15 Mei akibat serangan lintas rantai yang menguras dana di seluruh Bitcoin, Ethereum, BSC, dan Base. Drift Protocol, sebuah bursa berterusan terdesentralisasi berbasis Solana, dan KelpDAO, protokol restaking cair di Ethereum, bersama-sama menyumbang kerugian lebih dari $600 juta semata-mata pada bulan April.
Jambatan silang-chian telah kehilangan lebih daripada $2.8 bilion akibat serangan sejak 2021, menurut Chainalysis. Dan sebahagian besar eksploitasi ini menggunakan beberapa varian mekanik yang sama: pinjaman kilat.
Pinjaman kilat ialah ciri kontrak pintar yang membenarkan seorang pedagang meminjam jutaan dolar tanpa jaminan, dengan syarat pinjaman itu dibayar semula dalam transaksi yang sama. Kes penggunaan yang sah termasuk arbitrage antara bursa, pertukaran jaminan tanpa membuka kedudukan, dan bot pencairan yang mengekalkan kesehatan pasaran peminjaman.
Pola serangan adalah mekanik yang sama tetapi diarahkan ke arah yang salah.
Seorang peminjam mengambil pinjaman, menggunakan dana tersebut untuk memanipulasi oracle atau menguras kolam yang direka dengan buruk, mendapat keuntungan daripada manipulasi tersebut, dan membayar balik pinjaman, semuanya sebelum transaksi diselesaikan. Jika sebarang langkah gagal, keseluruhan urutan akan dipulihkan, jadi penyerang hanya menanggung risiko bayaran gas.
Buku besar XRP tidak membenarkan perkara ini. Sebuah cadangan amandemen yang diajukan di repositori standard XRPL awal minggu ini, yang mencadangkan cairan terkonsentrasi dan pasangan gaya StableSwap untuk pembuat pasaran automatik asli rantai itu, termasuk satu baris di bahagian Pertimbangan Keselamatan: "Serangan pinjaman kilat adalah secara struktur mustahil. Transaksi XRPL adalah atomik tanpa panggilan intra-transaksi yang boleh digabungkan."
Yang bermaksud ialah transaksi XRPL akan berjaya sepenuhnya atau gagal sepenuhnya, seperti transaksi ethereum. Tetapi berbeza dengan ethereum, transaksi XRPL tidak boleh memanggil kontrak lain semasa pelaksanaannya. Urutan pinjam-manipulasi-bayar balik yang mentakrifkan serangan pinjaman kilat memerlukan sekurang-kurangnya tiga operasi bersarang di dalam satu sampul transaksi.
Itu adalah pilihan rekabentuk yang bermakna, dan ia mempunyai kos. Pinjaman kilat bukan hanya alat serangan. Ia telah menjadi komponen struktur DeFi Ethereum, dengan Aave, dYdX, dan protokol utama lain menawarkannya sebagai produk. Pedagang arbiraj menggunakan pinjaman kilat untuk menghapus perbezaan harga antara bursa dalam satu tindakan atomik.
Bot pencairan menggunakannya untuk mengekalkan kedudukan pinjaman yang dijamin lebih daripada cukup. Pengguna DeFi yang canggih menggunakannya untuk pertukaran jaminan yang sebelumnya memerlukan modal yang terikat selama berjam-jam. XRPL meninggalkan semua itu sebagai ganti bagi penutupan kelas serangan sepenuhnya.
Sejak sebahagian besar sejarah XRPL, kompromi itu tidak penting kerana jejak DeFi rantai itu kecil. Kini berubah. Aset dunia nyata yang ditokenkan di XRP Ledger telah melampaui $3 bilion dalam nilai total, termasuk uji coba Ripple-JPMorgan-Mastercard-Ondo Finance bulan lepas yang memproses penebusan Treasury AS yang ditokenkan dalam masa kurang dari lima saat.
Perubahan AMM draf, jika diluluskan, akan menutup jurang kecekapan modal yang telah membuat DeFi XRPL tertinggal daripada ethereum, membuka rantai ini kepada pelbagai strategi perdagangan dan hasil yang lebih luas.
Jika pindaan AMM diluluskan dan likuiditi DeFi XRPL tumbuh sehingga mencapai tahap yang boleh dideploy oleh modal institusi dalam skala besar, soalannya menjadi sama ada ketahanan terhadap eksploit struktural merupakan kelebihan kompetitif yang sebenar atau hanya ciri yang diabaikan oleh institusi demi tempat di mana likuiditi sudah wujud.