Два крупнейших взлома DeFi за последние два месяца имеют одну общую черту. Они использовали инструмент, которого нет на XRP Ledger.
Thorchain потерял примерно 10,8 миллиона долларов 15 мая в результате межцепочечной атаки, которая вывела средства с Bitcoin, Ethereum, BSC и Base. Drift Protocol, децентрализованная перпетуальная биржа на Solana, и KelpDAO, протокол ликвидного рестейкинга на Ethereum, вместе привели к потерям более чем на 600 миллионов долларов только за апрель.
С 2021 года мосты между блокчейнами потеряли более 2,8 млрд долларов из-за атак, согласно Chainalysis. Значительная часть этих взломов использовала различные варианты одного и того же механизма: флеш-кредиты.
Флеш-займ — это функция смарт-контракта, позволяющая трейдеру взять в долг миллионы долларов без залога при условии, что займ будет возвращён в рамках той же транзакции. Законные сценарии использования включают арбитраж между биржами, обмен залога без закрытия позиций и боты для ликвидации, обеспечивающие платёжеспособность на рынках кредитования.
Паттерн атаки — это тот же механизм, направленный в неверном направлении.
Заемщик берет кредит, использует средства для манипуляции оракулом или опустошения плохо спроектированного пула, получает прибыль от манипуляции и погашает кредит, все это до завершения транзакции. Если какой-либо шаг не удастся, вся последовательность откатывается, поэтому атакующий рискует только комиссией за газ.
XRP Ledger не позволяет этому работать. Черновик поправки, поданный на репозиторий стандартов XRPL ранее на этой неделе, предлагающий концентрированную ликвидность и пулы типа StableSwap для встроенного автоматического маркет-мейкера цепочки, содержал одну строку в разделе «Соображения безопасности»: «Атаки с использованием флеш-кредитов структурно невозможны. Транзакции XRPL атомарны без составных внутритранзакционных вызовов.»
Это означает, что транзакции XRPL либо полностью успешны, либо полностью провальны, как транзакции Ethereum. Но в отличие от Ethereum, транзакция XRPL не может вызывать другой контракт во время выполнения. Последовательность «взять в долг — манипулировать — погасить», которая характеризует атаку с использованием флеш-займа, требует как минимум трех вложенных операций внутри одного транзакционного контейнера.
Это осмысленный архитектурный выбор, и он имеет свою цену. Флеш-кредиты — это не только инструмент атаки. Они стали структурным компонентом Ethereum DeFi, и такие крупные протоколы, как Aave и dYdX, предлагают их в качестве продукта. Арбитражные трейдеры используют флеш-кредиты для устранения ценовых различий между биржами в рамках одного атомарного действия.
Боты ликвидации используют их для поддержания платёжеспособности кредитных позиций с избыточным обеспечением. Сложные пользователи DeFi применяют их для обмена обеспечения, что иначе требовало бы капитала, замороженного на часы. XRPL отказывается от всего этого в обмен на полное закрытие этого класса атак.
На протяжении большей части истории XRPL эта компромиссная ситуация не имела значения, поскольку экосистема DeFi на цепочке была небольшой. Это меняется. Токенизированные реальные активы на XRP Ledger превысили общую капитализацию в 3 миллиарда долларов, включая пилотный проект Ripple, JPMorgan, Mastercard и Ondo Finance, который в прошлом месяце обработал погашение токенизированного казначейского обязательства США менее чем за пять секунд.
Проект поправки к AMM, если он будет принят, закроет разрыв в капиталоэффективности, который сдерживал развитие DeFi на XRPL по сравнению с Ethereum, и откроет цепочку для более широкого спектра торговых и доходных стратегий.
Если поправка к AMM будет принята, а ликвидность DeFi XRPL вырастет до уровня, пригодного для масштабных вложений институционального капитала, возникает вопрос, является ли устойчивость к структурным эксплойтам настоящим конкурентным преимуществом или просто функцией, которую институциональные инвесторы игнорируют в пользу тех мест, где уже существует ликвидность.