Ngày nay, toàn bộ thị trường blockchain đang ở giai đoạn sơ khai và thị trường tài chính phi tập trung (DeFi) là phần hứa hẹn nhất của nó. Theo dữ liệu của DefiLlama, vào năm 2021, thị trường DeFi có khoảng 200 tỷ đô la thanh khoản bị khóa trong các hợp đồng thông minh. Nếu chúng ta xem số vốn này như một khoản đầu tư ban đầu, thị trường này giống như một dự án mạo hiểm đầy hứa hẹn. Không có quá nhiều công ty toàn cầu có thể tự hào về mức vốn hóa như vậy. Nhưng bất kỳ thị trường trẻ nào cũng có vấn đề về sự phát triển của nó. Với DeFi, vấn đề chính là thiếu các nhà phát triển blockchain có trình độ.
Ngành công nghiệp này còn rất trẻ và có lượng người dùng tương đối nhỏ. Hầu hết mọi người ít nhất đã nghe nói về DeFi mà không có bất kỳ ý tưởng nào về nó là gì. Nhưng khi nó xảy ra với mọi liên doanh hứa hẹn mới, nó nhanh chóng tạo ra rất nhiều sự quan tâm đầu cơ. Thật không may, việc chuẩn bị nhân sự mất nhiều thời gian hơn, đặc biệt là khi nói đến các lĩnh vực đòi hỏi nhiều kiến thức như phát triển blockchain và hợp đồng thông minh. Điều này có nghĩa là một số nhóm dự án sẽ phải thỏa hiệp và thuê những nhân sự ít kinh nghiệm hơn.
Vấn đề này chắc chắn tạo ra nguy cơ ngày càng tăng về các lỗ hổng bảo mật trong mã của các dự án này. Và sau đó chúng ta phải đối phó với hậu quả của nó là vốn người dùng bị mất. Để chỉ cần hiểu sơ qua về mức độ lớn của vấn đề này, tôi có thể nói rằng khoảng 10% tổng số thanh khoản của DeFi bị khóa đã bị tin tặc đánh cắp. Sẽ không có gì ngạc nhiên khi công chúng bình thường muốn tránh xa một hệ thống tài chính gây ra những mối nguy hiểm như vậy cho quỹ của họ.
Thị trường DeFi là một liên doanh đầy hứa hẹn, trong đó vấn đề khó khăn chính là thiếu các nhà phát triển blockchain có trình độ.
Việc khai thác DeFi gần đây đã thay đổi như thế nào?
Các cuộc tấn công vào DeFi từ lâu đã tập trung vào các cuộc tấn công gần đây. Chúng ta có thể nhớ lại sự nổi tiếng Vụ hack DAO năm 2016 dẫn đến mất 150 triệu đô la vốn đầu tư và dẫn đến hard fork của Ethereum. Kể từ đó, lỗ hổng này đã bị khai thác nhiều lần trong các hợp đồng thông minh khác nhau.
Chức năng gọi lại được sử dụng tích cực bởi các giao thức cho vay: Nó cho phép các hợp đồng thông minh kiểm tra số dư tài sản thế chấp của người dùng trước khi cho vay. Tất cả quá trình này xảy ra trong một giao dịch, điều này đã cung cấp cho tin tặc một giải pháp để ăn cắp tiền từ các hợp đồng thông minh như vậy. Khi bạn gửi yêu cầu vay vốn, chức năng gọi lại trước tiên sẽ kiểm tra số dư tài sản thế chấp, sau đó cho vay nếu tài sản thế chấp đủ và sau đó thay đổi số dư tài sản thế chấp của người dùng bên trong hợp đồng thông minh.
Để đánh lừa hợp đồng thông minh, tin tặc trả lại cuộc gọi đến hàm gọi lại để bắt đầu quá trình này từ đầu. Vì giao dịch chưa được hoàn tất trên blockchain, nên chức năng này sẽ cung cấp một khoản vay khác cho cùng số dư tài sản thế chấp. Mặc dù giải pháp cho vấn đề này đã có từ lâu nhưng nhiều dự án vẫn trở thành nạn nhân của nó.
Đôi khi, các nhóm dự án có ít kỹ năng viết hợp đồng thông minh quyết định mượn codebase của một dự án DeFi mã nguồn mở khác để triển khai hợp đồng thông minh của riêng họ. Họ thường làm như vậy với các dự án uy tín đã được kiểm toán và có cơ sở người dùng lớn và đã được chứng minh là được xây dựng an toàn. Nhưng họ có thể quyết định thực hiện các sửa đổi nhỏ đối với mã đã mượn để thêm các chức năng mà họ muốn có trong hợp đồng thông minh của mình mà không cần thay đổi mã gốc. Điều này có thể làm hỏng logic của hợp đồng thông minh, mà các nhà phát triển thường không nhận ra.
Đây là những gì đã cho phép tin tặc đánh cắp khoảng 19 triệu đô la từ Cream Finance vào tháng 8 năm 2021. Nhóm Cream Finance đã mượn mã từ một giao thức DeFi khác và thêm mã thông báo gọi lại trong hợp đồng thông minh của họ. Mặc dù bạn có thể ngăn chặn các cuộc tấn công lần đầu tiên bằng cách triển khai mô hình “kiểm tra, hiệu ứng, tương tác” ưu tiên thay đổi số dư so với việc phát hành tiền, một số nhóm vẫn không bảo vệ được nền tảng của họ khỏi những hành vi khai thác này.
Các cuộc tấn công cho vay nhanh cho phép tin tặc đánh cắp tiền theo cách khác nhau và ngày càng trở nên phổ biến kể từ khi bùng nổ DeFi năm 2020. Ý tưởng chính của các cuộc tấn công cho vay nhanh là bạn không cần phải có tài sản thế chấp để vay tiền từ một giao thức vì tính ngang bằng tài chính vẫn được đảm bảo. bởi thực tế là khoản vay được thực hiện và trả lại trong một giao dịch. Và nó sẽ không diễn ra nếu bạn không trả lại khoản vay với lãi suất trong một lần giao dịch. Nhưng những kẻ tấn công đã có thể thực hiện các cuộc tấn công cho vay nhanh thành công trên nhiều giao thức.
Khi thực hiện chúng, họ sử dụng nhiều giao thức để vay và kéo tính thanh khoản cho đến khi thực hiện hành động cuối cùng, nơi họ khuếch đại giá của mã thông báo thông qua oracles hoặc nhóm thanh khoản và sử dụng nó để lừa đảo một đợt pump-and-dump và không còn tính thanh khoản trong một mảng của một số loại tiền điện tử khác nhau chính như Ether (ETH), Wrapped Bitcoin (wBTC) và những loại khác.
Làm thế nào để bảo vệ chống lại việc khai thác DeFi?
Họ nên có một trưởng nhóm chuyên nghiệp với kỹ năng xây dựng các ứng dụng phi tập trung. Cũng nên nhớ sử dụng các thư viện mã an toàn để phát triển. Đôi khi, các thư viện ít cập nhật hơn có thể là lựa chọn an toàn hơn các thư viện có cơ sở mã mới nhất.
Kiểm tra là một điều quan trọng khác mà tất cả các dự án DeFi nghiêm túc phải làm. Với tư cách là Giám đốc điều hành của một công ty kiểm toán hợp đồng thông minh, tôi luôn cố gắng bao phủ 100% mã của khách hàng của chúng tôi và nhấn mạnh tầm quan trọng của việc bảo vệ phi tập trung đối với các khóa cá nhân được sử dụng để gọi các chức năng của hợp đồng thông minh với quyền truy cập hạn chế. Tốt nhất là sử dụng phân quyền khóa công khai thông qua đa chữ ký để ngăn một thực thể có toàn quyền kiểm soát hợp đồng.
Cuối cùng, giáo dục là một trong những chìa khóa cho phép các hệ thống tài chính dựa trên blockchain trở nên an toàn và đáng tin cậy hơn. Và giáo dục nên là một trong những mối quan tâm chính của những người đang tìm việc làm ở DeFi vì nó có thể mang lại phần thưởng hấp dẫn cho tất cả những ai có thể đóng góp một cách xứng đáng.
Theo dõi tin tức mới nhất về Blockchain trên các kênh của XGems Capital
