Nhược điểm của giao thức DeFi

Ngành tài chính phi tập trung đang phát triển mỗi ngày. Đồng thời, có hàng trăm, nếu không muốn nói là hàng chục nghìn người muốn nhận phần của họ về “chiếc bánh” này. Thật không may, một số người sử dụng các phương pháp kém trung thực hơn để đạt được mục tiêu này. Hôm nay chúng ta sẽ nói về những tin tặc phá vỡ các giao thức DeFi khác nhau và cách chúng thành công.

Ba năm trước, lĩnh vực DeFi có 800 triệu đô la tiền mặt. Vào tháng 2 năm 2021, con số này đã vượt quá 40 tỷ đô la, và vào tháng 4, con số này đã tăng gấp đôi, đạt 80 tỷ đô la. Dòng tiền hiện tại của DeFi vượt quá 140 tỷ đô la và sẽ không dừng lại!

Cùng với sự tăng trưởng của các chỉ số, mức lỗ của ngành cũng tăng lên. Như vậy, trong 4 tháng đầu năm nay, số tiền lỗ đã vượt quá 240 triệu USD. Và với vụ hack 600 triệu đô la gần đây trên Poly Network, con số có thể còn tồi tệ hơn.

Tính ẩn danh của lĩnh vực tài chính này cực kỳ hấp dẫn đối với tin tặc, vì ở đây dễ dàng hơn nhiều để đánh cắp hàng chục triệu đô la và ở trong bóng tối. Sau khi phân tích nhiều vụ hack, chúng tôi đã có thể xác định các “lỗ hổng” phổ biến trong các giao thức, dẫn đến hành vi trộm cắp, lên tới hàng chục triệu đô la.

Phân tích các nạn nhân và lỗi logic nghiệp vụ

Bất kỳ cuộc tấn công nào cũng bắt đầu bằng việc thu thập dữ liệu về một nạn nhân tiềm năng. Đương nhiên, trước hết, một hacker phải có các kỹ năng của một lập trình viên và biết cách thức hoạt động của các hợp đồng thông minh.

Bộ công cụ của những kẻ tấn công thường cho phép họ tải xuống bản sao blockchain của họ từ mạng chính, sau đó mô phỏng cuộc tấn công, trình bày kết quả của nó trong mạng thực của một dự án DeFi cụ thể.

Ngoài ra, tin tặc kiểm tra chặt chẽ mô hình kinh doanh của dự án và các dịch vụ bên ngoài mà nó sử dụng (ví dụ: oracles) nhằm tìm ra lỗi trong các mô hình toán học của logic nghiệp vụ. Chúng thường là điểm dễ bị tấn công nhất đối với DeFi.

Theo thống kê, từ mùa hè năm 2020 đến mùa hè năm 2021, do không thể làm việc trong môi trường không an toàn, những kẻ tấn công đã thực hiện khoảng 10 vụ hack trị giá hơn 50 triệu USD.

Lỗi trong mã

Hợp đồng thông minh vẫn còn là một khái niệm khá mới mẻ đối với ngành công nghệ thông tin. Bất chấp sự đơn giản của chúng, các ngôn ngữ lập trình liên quan đến hợp đồng thông minh yêu cầu một mô hình phát triển mới. Các bác sĩ chuyên khoa đơn giản là không có đầy đủ các kỹ năng cần thiết, mắc sai lầm dẫn đến thất thoát số tiền khổng lồ.

Kiểm tra bảo mật có thể giúp họ. Tuy nhiên, không phải lúc nào anh ta cũng xoay sở để khắc phục tất cả các vấn đề có thể xảy ra, vì những người tiến hành nó chỉ quan tâm đến khía cạnh tài chính của vấn đề và không phải lúc nào cũng quan tâm đến chất lượng công việc được thực hiện.

Một ví dụ là trường hợp vào ngày 19 tháng 4 năm 2020, khi tin tặc khai thác một lỗ hổng trong tiêu chuẩn token ERC-777, kết hợp nó với một cuộc tấn công tái nhập và quản lý để đánh cắp 25 triệu đô la. Đồng thời, tổng thiệt hại do lỗi mã hóa đã vượt quá 500 triệu đô la.

Các khoản vay chớp nhoáng và thao túng giá

Thông tin trong hợp đồng thông minh chỉ có liên quan tại thời điểm giao dịch. Thật không may, nó không được bảo vệ khỏi sự thao túng có thể xảy ra bởi các bên thứ ba, điều này mở rộng khả năng xảy ra hàng loạt các cuộc tấn công và gian lận giá cả.

Các khoản vay nhanh bằng tiền điện tử cho phép người vay nhận được số tiền lớn và sử dụng chúng cho các mục đích riêng của họ. Nhưng đôi khi các khoản tín dụng flash được sử dụng cho các cuộc tấn công thao túng giá.

Kẻ tấn công bán một lượng lớn token đã vay như một phần của giao dịch, do đó hạ giá của chúng, và sau đó thực hiện một loạt các trò tai quái được lên kế hoạch trước ở mức giá tối thiểu của token trước khi đổi chúng.

Nhiều cuộc tấn công vào nền tảng Chuỗi thông minh Binance, mà chúng tôi đã đề cập trước đó, được thực hiện chính xác do các khoản tín dụng flash và sự thay đổi mạnh mẽ về giá trị của token bởi tin tặc.

Các cuộc tấn công khai thác

Một cuộc tấn công tương tự bằng cách sử dụng các khoản vay nhanh trên các blockchains, dựa trên thuật toán đồng thuận Proof-of-Work. Cuộc tấn công này tốn kém và phức tạp hơn, nhưng nó giúp vượt qua nhiều cấp độ bảo vệ tín dụng nhanh.

Tin tặc thuê sức mạnh khai thác và tạo thành một khối chỉ bao gồm các giao dịch mà anh ta cần. Trong đó, kẻ tấn công có thể mượn tiền điện tử, kiểm soát giá của chúng và trả lại token. Khi một “cơ động” như vậy được thực hiện, các giao dịch khác đơn giản là không thể “chen chân” vào cuộc tấn công, như trường hợp của các khoản tín dụng flash.

Sử dụng kiểu tấn công này, các tin tặc đã khiến hơn 100 dự án DeFi chìm trong màu đỏ và tổng thiệt hại lên tới khoảng 1 tỷ USD.

Sự bất lực của nhóm phát triển

Nhiều nhà phát triển đến với DeFi để “kiếm tiền nhanh chóng” không dừng lại ngay cả bởi trình độ thấp và hoàn toàn không biết về các cơ chế cơ bản của ngành. Nóng vội và ham lợi nhuận làm lu mờ ý thức, họ có thể làm hỏng mọi chủ trương.

Hợp đồng thông minh là mã nguồn mở. Nó có thể dễ dàng bị sao chép và sửa đổi bởi tin tặc. Ví dụ, chúng ta có thể nhớ lại dự án RFI SafeMoon, chứa một lỗ hổng nghiêm trọng trong mã, tương tự như hàng trăm dự án khác đã mất hơn 2 tỷ đô la tiền của người dùng do sự vô trách nhiệm tầm thường của các nhà phát triển.

Nhưng ngay cả những điều trên cũng không làm cho DeFi kém hứa hẹn hơn. Thay vào đó, nó nói lên sự cần thiết phải cải thiện mức độ bảo vệ các quỹ của nhà đầu tư để thu hút nhiều người chơi hơn nữa vào thị trường.

Trả lời

Email của bạn sẽ không được hiển thị công khai.

Bài viết trước

Ủy viên CFTC căng thẳng: Ethereum nằm dưới quyền tài phán của chúng tôi

Bài viết kế tiếp

Hậu trường CoinGeek với Phương Định: Mijem tìm cách giao tiếp với hệ thống khách hàng thân thiết BSV

Bài viết liên quan