การโจมตี DeFi สองครั้งที่ใหญ่ที่สุดในสองเดือนที่ผ่านมา มีจุดร่วมอย่างหนึ่ง คือ ใช้เครื่องมือที่ไม่มีอยู่บน XRP Ledger
Thorchain สูญเสียเงินประมาณ 10.8 ล้านดอลลาร์สหรัฐในวันที่ 15 พฤษภาคม จากการโจมตีข้ามโซ่ที่ดึงเงินออกจาก Bitcoin, Ethereum, BSC และ Base Drift Protocol แพลตฟอร์มแลกเปลี่ยนแบบไม่مركزized ที่ใช้ Solana และ KelpDAO โปรโตคอลการ restaking แบบของเหลวบน Ethereum รวมกันส่งผลให้เกิดการสูญเสียมากกว่า 600 ล้านดอลลาร์สหรัฐในเดือนเมษายนเพียงเดือนเดียว
สะพานข้ามโซ่สูญเสียเงินไปมากกว่า 2.8 พันล้านดอลลาร์สหรัฐจากโจมตีตั้งแต่ปี 2021 ตามข้อมูลของ Chainalysis และการโจมตีส่วนใหญ่ใช้กลไกเดียวกันในรูปแบบต่างๆ: แฟลชลูน
แฟลชลูนคือคุณสมบัติของสัญญาอัจฉริยะที่ให้ผู้เทรดยืมเงินหลายล้านดอลลาร์โดยไม่ต้องใช้หลักประกัน โดยมีเงื่อนไขว่าต้องชำระคืนภายในธุรกรรมเดียวกัน การใช้งานที่ถูกต้องรวมถึงการหาโอกาสอาร์บิตราจระหว่างแพลตฟอร์มแลกเปลี่ยน การแลกเปลี่ยนหลักประกันโดยไม่ต้องปิดโพสิชัน และบอทการชำระบัญชีที่รักษาความสามารถในการชำระหนี้ในตลาดการให้ยืม
รูปแบบการโจมตีคือกลไกเดียวกันแต่ถูกชี้ไปในทิศทางที่ผิด
ผู้กู้ยืมเงิน ใช้เงินทุนเพื่อจัดการค่าคงที่หรือดูดเงินออกจากสระที่ออกแบบไม่ดี ทำกำไรจากการจัดการ และชำระคืนเงินกู้ทั้งหมดก่อนที่ธุรกรรมจะสรุป หากขั้นตอนใดล้มเหลว ลำดับทั้งหมดจะถูกยกเลิก ดังนั้นผู้โจมตีจึงไม่มีความเสี่ยงใดนอกจากค่าธรรมเนียมแก๊ส
ledger ของ XRP ไม่อนุญาตให้ทำงานเช่นนี้ ร่างการแก้ไขที่ยื่นไว้ในที่เก็บมาตรฐานของ XRPL เมื่อต้นสัปดาห์นี้ ซึ่งเสนอการรวมสภาพคล่องและสระแบบ StableSwap สำหรับ automated market maker แบบดั้งเดิมของเครือข่าย ได้รวมบรรทัดเดียวไว้ในส่วนพิจารณาด้านความปลอดภัย: "การโจมตีด้วย flash loan เป็นไปไม่ได้ในเชิงโครงสร้าง การทำธุรกรรมของ XRPL เป็นแบบอะตอมิกโดยไม่มีการเรียกใช้งานภายในธุรกรรมที่สามารถเชื่อมต่อกันได้"
สิ่งนี้หมายความว่าธุรกรรม XRPL จะประสบความสำเร็จทั้งหมดหรือล้มเหลวทั้งหมด เช่นเดียวกับธุรกรรม Ethereum แต่ต่างจาก Ethereum ที่ธุรกรรม XRPL ไม่สามารถเรียกใช้งานสัญญาอื่นใดระหว่างการดำเนินการได้ ลำดับการยืม-จัดการ-ชำระคืน ซึ่งเป็นลักษณะของการโจมตีแบบฟลัชโลน ต้องการอย่างน้อยสามการดำเนินการที่ซ้อนกันภายในซองธุรกรรมเดียว
นั่นเป็นทางเลือกทางสถาปัตยกรรมที่มีความหมาย และมีต้นทุนที่ต้องจ่าย คลื่นสินเชื่อแบบทันทีไม่ได้เป็นเพียงเครื่องมือโจมตีเท่านั้น แต่ได้กลายเป็นส่วนประกอบเชิงโครงสร้างของ DeFi บน Ethereum โดยโปรโตคอลหลักๆ เช่น Aave, dYdX และอื่นๆ ได้เสนอคลื่นสินเชื่อแบบทันทีเป็นผลิตภัณฑ์ นักเก็งกำไรแบบ arbitrage ใช้คลื่นสินเชื่อแบบทันทีเพื่อทำให้ความแตกต่างของราคาระหว่างแพลตฟอร์มแลกเปลี่ยนหมดไปในหนึ่งการกระทำแบบอะตอมิก
บอทการชำระบัญชีใช้พวกมันเพื่อรักษาโพสิชันการให้กู้ยืมที่มีหลักประกันเกินความจำเป็นให้ยังคงมีเสถียรภาพ ผู้ใช้ DeFi ที่มีความเชี่ยวชาญใช้พวกมันสำหรับการแลกเปลี่ยนหลักประกันซึ่งหากไม่มีจะต้องใช้ทุนที่ถูกผูกไว้นานหลายชั่วโมง XRPL ยอมละทิ้งทั้งหมดนั้นเพื่อปิดช่องโหว่ประเภทนี้โดยสิ้นเชิง
ตลอดประวัติศาสตร์ส่วนใหญ่ของ XRPL ความเสี่ยงนี้ไม่ได้มีความสำคัญ เพราะ footprint ของ DeFi บนโซ่เล็กน้อย แต่ตอนนี้กำลังเปลี่ยนไป ทรัพย์สินจริงที่ถูกแปลงเป็นโทเค็นบน XRP Ledger มีมูลค่ารวมเกิน 3 พันล้านดอลลาร์สหรัฐ รวมถึงโครงการริเริ่มของ Ripple-JPMorgan-Mastercard-Ondo Finance เมื่อเดือนที่แล้วที่ดำเนินการรับชำระเงินตราสหรัฐที่ถูกแปลงเป็นโทเค็นภายในเวลาไม่ถึงห้าวินาที
ร่างการแก้ไข AMM หากผ่านการลงมติ จะปิดช่องว่างด้านประสิทธิภาพทุนที่ทำให้ XRPL DeFi ตามหลัง Ethereum ทำให้เครือข่ายนี้สามารถเข้าถึงกลยุทธ์การซื้อขายและผลตอบแทนที่หลากหลายยิ่งขึ้น
หากการแก้ไข AMM ผ่านการลงคะแนนและสภาพคล่อง DeFi ของ XRPL เติบโตขึ้นไปสู่ระดับที่ทุนสถาบันสามารถลงทุนในปริมาณใหญ่ได้ คำถามก็คือ การต้านทานการถูกโจมตีทางโครงสร้างเป็นข้อได้เปรียบทางการแข่งขันที่แท้จริง หรือแค่คุณสมบัติที่สถาบันมองข้ามเพื่อไปยังจุดที่มีสภาพคล่องอยู่แล้ว