Ngày nay, toàn bộ thị trường blockchain đang ở giai đoạn sơ khai vàtài chính phi tập trung (DeFi) thị trường là phần hứa hẹn nhất của nó. Theo dữ liệu của DefiLlama, vào năm 2021, thị trường DeFi có khoảng 200 tỷ đô la thanh khoản bị khóa trong các hợp đồng thông minh. Nếu chúng ta coi số vốn này là một khoản đầu tư ban đầu, thì thị trường này có vẻ như là một dự án kinh doanh đầy hứa hẹn. Không có quá nhiều công ty toàn cầu có thể tự hào về vốn hóa như vậy. Nhưng bất kỳ thị trường non trẻ nào cũng có những vấn đề về sự phát triển của nó. Với DeFi, vấn đề chính là thiếu các nhà phát triển blockchain đủ tiêu chuẩn.
Ngành công nghiệp này còn rất trẻ và có cơ sở người dùng tương đối nhỏ. Hầu hết mọi người đã nghe nhiều nhất về DeFi mà không có bất kỳ ý tưởng nào về nó là gì. Nhưng khi nó xảy ra với mọi dự án kinh doanh đầy triển vọng mới, nó nhanh chóng tạo ra nhiều mối quan tâm đầu cơ. Thật không may, việc chuẩn bị nhân sự mất nhiều thời gian hơn, đặc biệt là khi nói đến các lĩnh vực đòi hỏi nhiều kiến thức như chuỗi khối và phát triển hợp đồng thông minh. Điều này có nghĩa là một số nhóm dự án sẽ phải thỏa hiệp và thuê nhân viên ít kinh nghiệm hơn.
Vấn đề này tất yếutạo ra nguy cơ lỗ hổng bảo mật ngày càng tăng trong mã của các dự án này. Và sau đó chúng ta phải giải quyết hậu quả của nó là vốn người dùng bị mất. Để hiểu sơ qua về mức độ nghiêm trọng của vấn đề này, tôi có thể nói rằng khoảng 10% tổng số thanh khoản bị khóa của DeFi đã bị tin tặc đánh cắp. Không có gì ngạc nhiên khi công chúng chính thống muốn tránh xa một hệ thống tài chính gây ra những mối nguy hiểm như vậy đối với tiền của họ.
Việc khai thác DeFi gần đây đã thay đổi như thế nào?
Các cuộc tấn công vào DeFi từ lâu đã tập trung vào các cuộc tấn công vào lại. Chúng ta có thể nhớ lại sự nổi tiếng Vụ hack DAO năm 2016 dẫn đến việc mất 150 triệu đô la vốn đầu tư và dẫn đến hard fork của Ethereum. Kể từ đó, lỗ hổng này đã được khai thác nhiều lần trong các hợp đồng thông minh khác nhau.
Chức năng gọi lại được sử dụng tích cực bởi các giao thức cho vay: Nó cho phép các hợp đồng thông minh kiểm tra số dư tài sản thế chấp của người dùng trước khi cho vay. Tất cả quá trình này xảy ra trong một giao dịch, điều này đã mang lại cho tin tặc một giải pháp thay thế để đánh cắp tiền từ các hợp đồng thông minh như vậy. Khi bạn gửi yêu cầu vay tiền, chức năng gọi lại trước tiên sẽ kiểm tra số dư tài sản thế chấp, sau đó cho vay nếu tài sản thế chấp đủ và sau đó thay đổi số dư tài sản thế chấp của người dùng trong hợp đồng thông minh.
Để đánh lừa hợp đồng thông minh, tin tặc trả lại cuộc gọi cho chức năng gọi lại để bắt đầu quá trình này từ đầu. Vì giao dịch chưa được hoàn tất trên chuỗi khối nên chức năng này sẽ đưa ra một khoản vay khác với cùng số dư tài sản thế chấp. Mặc dù giải pháp cho vấn đề này đã được đưa ra đủ lâu, nhưng nhiều dự án vẫn trở thành nạn nhân của nó.
Đôi khi, các nhóm dự án có ít kỹ năng viết hợp đồng thông minh quyết định mượn cơ sở mã của một dự án DeFi nguồn mở khác để triển khai hợp đồng thông minh của riêng họ. Họ thường làm như vậy với các dự án có uy tín đã được kiểm toán và có cơ sở người dùng lớn và đã được chứng minh là được xây dựng an toàn. Nhưng họ có thể quyết định thực hiện các sửa đổi nhỏ đối với mã đã mượn để thêm các chức năng mà họ muốn có trong hợp đồng thông minh của mình mà không cần thay đổi mã gốc. Điều này có thể làm hỏng logic của hợp đồng thông minh, điều mà các nhà phát triển thường không nhận ra.
đây là cái gìcho phép tin tặc đánh cắp khoảng 19 triệu đô la từ Cream Finance vào tháng 8 năm 2021. Nhóm Cream Finance đã mượn mã từ một giao thức DeFi khác và thêm mã thông báo gọi lại vào hợp đồng thông minh của họ. Mặc dù bạn có thể ngăn chặn các cuộc tấn công vào lại bằng cách triển khai mẫu “kiểm tra, hiệu ứng, tương tác” ưu tiên thay đổi số dư hơn là phát hành tiền, nhưng một số nhóm vẫn không bảo vệ được nền tảng của họ khỏi những hành vi khai thác này.
Các cuộc tấn công cho vay nhanh cho phép tin tặc đánh cắp tiền theo nhiều cách khác nhau và ngày càng trở nên phổ biến kể từ khi DeFi bùng nổ vào năm 2020. Ý tưởng chính của các cuộc tấn công cho vay nhanh là bạn không cần phải có tài sản thế chấp để vay tiền từ một giao thức vì tài chính ngang bằng vẫn được đảm bảo bởi thực tế là khoản vay được thực hiện và trả lại trong một lần giao dịch. Và nó sẽ không diễn ra nếu bạn không trả lại khoản vay kèm theo lãi suất trong một lần giao dịch. Nhưng những kẻ tấn công đã có thể thực hiện thành công các cuộc tấn công flash loan trên nhiều giao thức.
Khi thực hiện chúng, họ sử dụng nhiều giao thức để vay và kéo thanh khoản cho đến hành động cuối cùng, nơi họ khuếch đại giá của mã thông báo thông qua các nhà tiên tri hoặc nhóm thanh khoản và sử dụng nó để lừa đảo bơm và bán và biến mất thanh khoản trong một mảng của một số loại tiền điện tử lớn khác nhau như Ether (ETH ), Bitcoin được bọc (wBTC) và các loại khác. Một số cuộc tấn công flash loan nổi tiếng bao gồmCuộc tấn công của Pancake Bunny , trong đó giao thức đã mất 200 triệu đô la vàmột cuộc tấn công Cream Finance khác , trong đó hơn 100 triệu đô la đã bị đánh cắp.
Làm cách nào để chống lại việc khai thác DeFi?
Để xây dựng một giao thức DeFi an toàn, lý tưởng nhất là bạn chỉ nên tin tưởng các nhà phát triển blockchain có kinh nghiệm. Họ nên có một nhóm chuyên nghiệp lãnh đạo với kỹ năng xây dựng các ứng dụng phi tập trung. Bạn cũng nên nhớ sử dụng các thư viện mã an toàn để phát triển. Đôi khi, các thư viện ít cập nhật hơn có thể là lựa chọn an toàn nhất so với các thư viện có cơ sở mã mới nhất.
thử nghiệm làmột điều quan trọng khác tất cả các dự án DeFi nghiêm túc đều phải làm. Với tư cách là Giám đốc điều hành của một công ty kiểm toán hợp đồng thông minh, tôi luôn cố gắng kiểm soát 100% mã của khách hàng và nhấn mạnh tầm quan trọng của việc bảo vệ phi tập trung đối với các khóa riêng được sử dụng để gọi các chức năng của hợp đồng thông minh với quyền truy cập hạn chế. Tốt nhất là sử dụng phân cấp khóa công khai thông qua đa chữ ký để ngăn một thực thể có toàn quyền kiểm soát hợp đồng.
Cuối cùng, giáo dục là một trong những chìa khóa cho phép các hệ thống tài chính dựa trên chuỗi khối trở nên an toàn và đáng tin cậy hơn. Và giáo dục phải là một trong những mối quan tâm chính của những người đang tìm kiếm việc làm trong DeFi vì nó có thể mang lại những phần thưởng hấp dẫn cho tất cả những ai có thể đóng góp khả thi.
Bài viết này không chứa lời khuyên hoặc khuyến nghị đầu tư. Mọi động thái đầu tư và giao dịch đều có rủi ro và độc giả nên tiến hành nghiên cứu của riêng mình khi đưa ra quyết định.
Quan điểm, suy nghĩ và ý kiến bày tỏ ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của Cointelegraph.
Dmitry Mishunin là người sáng lập và Giám đốc điều hành của công ty phân tích và bảo mật DeFi HashEx và có chuyên môn lâu năm trong lĩnh vực bảo mật chuỗi khối. Anh ấy đã dành nhiều thời gian cho các hoạt động khoa học, chẳng hạn như nghiên cứu về hệ thống CNTT, chuỗi khối và các lỗ hổng trong DeFi. Dưới sự quản lý của Dmitry, HashEx đã trở thành một trong những công ty hàng đầu trong lĩnh vực kiểm toán hợp đồng thông minh.
Preview
Có được sự hiểu biết rộng hơn về ngành công nghiệp tiền điện tử thông qua các báo cáo thông tin và tham gia vào các cuộc thảo luận chuyên sâu với các tác giả và độc giả cùng chí hướng khác. Chúng tôi hoan nghênh bạn tham gia vào cộng đồng Coinlive đang phát triển của chúng tôi:https://t.me/CoinliveSG