Thị trường DeFi là một liên doanh đầy hứa hẹn, trong đó vấn đề khó khăn chính là thiếu các nhà phát triển blockchain có trình độ.
Hiện nay, ngành blockchain đang ở giai đoạn sơ khai và thị trường tài chính phi tập trung (DeFi) chính là phần hứa hẹn nhất. Theo dữ liệu của DefiLama, vào năm 2021, TVL trong DeFi có khoảng 200 tỷ USD.
Nếu chúng ta xem số vốn này như một khoản đầu tư ban đầu, DeFi giống như một dự án mạo hiểm đầy hứa hẹn. Không có quá nhiều công ty toàn cầu có thể tự hào về mức vốn hóa như vậy. Nhưng bất kỳ thị trường non trẻ nào cũng có vấn đề về sự phát triển của nó. Với DeFi, vấn đề chính là thiếu các nhà phát triển blockchain có trình độ.
Ngành công nghiệp này còn rất trẻ và có lượng người dùng tương đối nhỏ. Hầu hết đều nghe nói về DeFi mà không biết nó là gì. Nhưng khi một số dự án mới tiềm năng trên DeFi xuất hiện, nó nhanh chóng tạo ra rất nhiều sự hứng thú trong việc đầu cơ.
Thật không may là việc chuẩn bị nhân sự mất nhiều thời gian hơn thế, đặc biệt là khi nói đến các lĩnh vực đòi hỏi nhiều kiến thức như phát triển blockchain và hợp đồng thông minh. Điều này có nghĩa là một số nhóm dự án sẽ phải thỏa hiệp và thuê những nhân sự ít kinh nghiệm hơn.
Vấn đề này chắc chắn tạo ra nguy cơ ngày càng tăng về các lỗ hổng bảo mật của các dự án. Sau đó phải đối phó với hậu quả của nó là các cuộc tấn công bảo mật.
Để hiểu sơ qua về mức độ lớn của vấn đề này, có thể nói rằng khoảng 10% tổng số thanh khoản bị khóa trong DeFi đã bị hacker đánh cắp. Sẽ không có gì ngạc nhiên khi công chúng bình thường muốn tránh xa một hệ thống tài chính gây ra những mối nguy hiểm như vậy cho tiền của họ.
Việc khai thác DeFi gần đây đã thay đổi như thế nào?
Các vụ tấn công DeFi thường xuyên xảy ra trong những năm gần đây. Chúng ta có thể nhớ lại vụ hack The DAO nổi tiếng năm 2016 dẫn đến mất 150 triệu USD vốn đầu tư và dẫn đến đợt hard fork của Ethereum. Kể từ đó, lỗ hổng này đã bị khai thác nhiều lần trong các hợp đồng thông minh khác nhau.
Hàm gọi lại được sử dụng tích cực bởi các giao thức cho vay. Nó cho phép các hợp đồng thông minh kiểm tra số dư tài sản thế chấp của người dùng trước khi cho vay. Tất cả quá trình này xảy ra trong một giao dịch, điều này đã cho tin tặc một giải pháp để ăn cắp tiền từ các hợp đồng thông minh như vậy.
Khi bạn gửi yêu cầu vay vốn, trước tiên, hàm gọi lại sẽ kiểm tra số dư tài sản thế chấp, sau đó cho vay nếu tài sản thế chấp đủ và sau đó thay đổi số dư tài sản thế chấp của người dùng trong hợp đồng thông minh.
Để đánh lừa hợp đồng thông minh, tin tặc trả lại cuộc gọi đến hàm gọi lại để bắt đầu quá trình này từ đầu. Vì giao dịch chưa được hoàn tất trên blockchain, nên chức năng này sẽ cung cấp một khoản vay khác cho cùng số dư tài sản thế chấp. Mặc dù giải pháp cho vấn đề này đã có từ lâu nhưng nhiều dự án vẫn trở thành nạn nhân của nó.
Đôi khi, các nhóm dự án có ít kỹ năng viết hợp đồng thông minh quyết định mượn codebase của một dự án DeFi mã nguồn mở khác để triển khai hợp đồng thông minh của riêng họ. Họ thường làm như vậy với các dự án có uy tín đã được kiểm toán, có cơ sở người dùng lớn và đã được chứng minh là được xây dựng an toàn.
Nhưng họ có thể quyết định thực hiện các sửa đổi nhỏ đối với mã đã mượn để thêm các chức năng mà họ muốn có trong hợp đồng thông minh của mình mà không cần thay đổi mã gốc. Điều này có thể làm hỏng logic của hợp đồng thông minh, mà các nhà phát triển thường không nhận ra.
Đây là những gì đã cho phép tin tặc đánh cắp khoảng 19 triệu USD từ Cream Finance vào tháng 8/2021. Nhóm Cream Finance đã mượn mã từ một giao thức DeFi khác và thêm token gọi lại trong hợp đồng thông minh của họ. Mặc dù bạn có thể ngăn chặn các cuộc tấn công lần đầu tiên bằng cách triển khai mô hình “kiểm tra, hiệu ứng, tương tác” ưu tiên thay đổi số dư so với việc phát hành tiền, một số nhóm vẫn không bảo vệ được nền tảng của họ khỏi những hành vi khai thác này.
Các cuộc tấn công cho vay nhanh cho phép tin tặc đánh cắp tiền theo cách khác nhau và ngày càng trở nên phổ biến kể từ khi bùng nổ DeFi năm 2020. Ý tưởng chính của các cuộc tấn công cho vay nhanh là bạn không cần phải có tài sản thế chấp để vay tiền từ một giao thức vì tính ngang bằng tài chính vẫn được đảm bảo.
Thực tế là khoản vay được thực hiện và trả lại trong một giao dịch. Và nó sẽ không diễn ra nếu bạn không trả lại khoản vay với lãi suất trong một lần giao dịch. Nhưng những kẻ tấn công đã có thể thực hiện các cuộc tấn công cho vay nhanh thành công trên nhiều giao thức.
Khi thực hiện chúng, họ sử dụng nhiều giao thức để vay và kéo thanh khoản cho đến khi khuếch đại giá của một token thông qua oracles hoặc nhóm thanh khoản. Và sử dụng nó để lừa đảo một đợt pump-and-dump và không còn tính thanh khoản trong một mảng của một số loại crypto khác nhau chính như Ether (ETH), Wrapped Bitcoin (wBTC) và những loại khác.
Một số cuộc tấn công cho vay nhanh nổi tiếng bao gồm cuộc tấn công Pancake Bunny, trong đó giao thức bị mất 200 triệu USD và cuộc tấn công Cream Finance khác, trong đó hơn 100 triệu USD đã bị đánh cắp.
Làm thế nào để bảo vệ chống lại việc khai thác DeFi?
Để xây dựng một giao thức DeFi an toàn, lý tưởng nhất là chỉ nên tin tưởng các nhà phát triển blockchain có kinh nghiệm. Họ nên có một leader chuyên nghiệp với kỹ năng xây dựng các ứng dụng DeFi. Bên cạnh đó cần sử dụng các thư viện mã an toàn để phát triển. Đôi khi, các thư viện ít cập nhật hơn có thể là lựa chọn an toàn hơn các thư viện có cơ sở mã mới nhất.
Kiểm tra là một điều quan trọng khác mà tất cả các dự án DeFi nghiêm túc phải làm. Hãy luôn cố gắng bao phủ 100% mã của khách hàng và nhấn mạnh tầm quan trọng của việc bảo vệ phi tập trung đối với private key được sử dụng để gọi các chức năng của hợp đồng thông minh với quyền truy cập hạn chế. Tốt nhất là sử dụng phân quyền khóa công khai thông qua đa chữ ký để ngăn một thực thể có toàn quyền kiểm soát hợp đồng.
Cuối cùng, giáo dục là một trong những chìa khóa cho phép các hệ thống tài chính dựa trên blockchain trở nên an toàn và đáng tin cậy hơn. Giáo dục nên là một trong những mối quan tâm chính của những người đang tìm việc làm ở DeFi vì nó có thể mang lại phần thưởng hấp dẫn cho tất cả những ai có thể đóng góp tích cực.
Nguồn: Cointelegraph