Tài chính phi tập trung, hoặc Defi Nói tóm lại, nó đã trở thành một từ thông dụng vào năm 2019 sau khi MakerDao và Composite được định giá sau khi cả hai công ty đều huy động được số vốn khá lớn từ công ty đầu tư mạo hiểm ưu tú Andreessen Horowitz có trụ sở tại Thung lũng Silicon.

Năm 2020 là một năm khó khăn đối với lĩnh vực DeFi tiền điện tử – nó đang trải qua giai đoạn khó khăn. Cuối tuần qua, giao thức hệ sinh thái dForce Lendf.me thua 99.95% số tiền của nó đến từ việc khai thác hack. Chỉ vài ngày sau, hacker đã rò rỉ thông tin về danh tính của anh ta khiến anh ta phải trả lại phần lớn số tiền bị đánh cắp. Tin tức này xuất hiện sau cuộc thử nghiệm lớn nhất của DeFi vào ngày 12 tháng XNUMX, khi Ether (ETH) giá giảm mạnh khiến hệ thống trở nên căng thẳng quá mức và thất bại. Người thua cuộc lớn ngày hôm đó là MakerDao, nơi có kiến ​​trúc và cơ sở hạ tầng kém đã bị lộ do những hạn chế của mạng Ethereum.

Nền tảng tài chính phi tập trung hàng đầu MakerDao đã tích lũy nợ phải trả giải cứu bằng tiền của công ty đầu tư mạo hiểm. Một tháng sau, tỷ giá đồng đô la của DAI gặp vấn đề về tính ổn định và một vụ kiện tập thể trị giá 28.3 triệu đô la đã được thực hiện. nộp chống lại Maker Foundation tại Tòa án quận phía Bắc California vì sơ suất. Người dùng muốn lấy lại tiền của họ.

Trở lại ngày 18 tháng 25, XNUMX triệu đô la Ether và Bitcoin (BTC) đã bị đánh cắp từ người dùng giao thức cho vay Lendf.me. Lendf là một giao thức có vấn đề về bảo mật và là một phần của hệ sinh thái của dForce Foundation. Đáng ngạc nhiên là nó thực sự có thể thu hồi gần như toàn bộ số tiền từ kẻ tấn công đã khai thác lỗ hổng reentry trong giao thức của nó, vì cuối cùng hắn đã trả lại gần như toàn bộ số tiền mà hắn đã đánh cắp. Sau đó thoát nước 25 triệu đô la, hacker đã trả lại 24 triệu đô la trong số đó, giữ lại 1 triệu đô la cho riêng mình… bạn biết đấy, phí gas và những thời điểm khó khăn do dịch bệnh COVID-19 này, có thể vậy.

Trớ trêu thay, hacker đã không trả lại cùng một loại tài sản đã bị đánh cắp, thay vào đó trả lại 24 triệu đô la dưới dạng một tổ hợp mã thông báo tiền điện tử khác. Điều này xảy ra ngay sau thông tin rằng dForce Foundation đóng cửa vòng trị giá 1.5 triệu USD do Multicoin Capital dẫn đầu, với sự tham gia của Huobi Capital và CMB International vào tuần trước. Chúng ta có thể cho rằng số tiền này sẽ bù đắp những tổn thất từ ​​vụ hack.

Tôi đã nói chuyện với hai Giám đốc điều hành DeFi của Composite Finance và Kava Labs để hỏi họ về trải nghiệm của họ với dForce và những bài học quan trọng mà vụ hack có thể dạy cho cộng đồng DeFi.

Brian Kerr, Giám đốc điều hành của nền tảng cho vay DeFi Kava Labs, nói với Cointelegraph về điều gì đã xảy ra với dForce đã cho phép vụ hack này xảy ra. Vào giữa năm 2019, Kava đã công bố stablecoin USDX. Ngay sau đó, dForce đã phát hành tên mã stablecoin của riêng mình là USDx. Việc sử dụng mã đánh dấu USDX của Kava cho thấy khả năng sáng tạo hạn chế tại dForce, điều này có thể còn mở rộng sang cả tài năng về mã và kỹ thuật của nó. Robert Leshner, Giám đốc điều hành của công ty cho vay DeFi Composite Finance, đã đích thân nói chuyện với Cointelegraph trong một cuộc phỏng vấn, sau khi ông kêu riu ríu về vụ hack trị giá 25 triệu đô la và tuyên bố rằng công ty đã đánh cắp mã có thể nhận dạng được là của Hợp chất.

Trong cuộc phỏng vấn qua điện thoại với Cointelegraph, Leshner giải thích:

“Xây dựng trên chuỗi là không thương tiếc; an ninh đòi hỏi sự chú ý đầy đủ của cả nhóm. Khi các nhóm triển khai lại mã mà họ chưa viết, điều đó khiến họ không thể biết mã đó hoạt động như thế nào hoặc tại sao hoặc rủi ro là gì… bất cứ điều gì ít hơn đều là sự bất công đối với người dùng. Và người dùng nên yêu cầu tốt hơn.” 

Đáng buồn thay, dForce đã trở thành một ví dụ về những gì DeFi không nên làm.

Vậy bạn cần biết điều gì?

Trong trường hợp của cả MakerDao và dForce, những gì bắt đầu như một thảm họa hiện đang trong quá trình giải quyết. Mặc dù một số tiền đáng kể vẫn chưa được tính đến, nhưng trải nghiệm này đã khiến người dùng tìm kiếm các nền tảng cho vay DeFi thay thế mà họ thực sự có thể tin tưởng. Nhiều người dùng đã mất tiền và nhiều người khác cảm thấy cảnh giác khi đọc tin tức DeFi những ngày này, ngay cả khi tiền của họ không bị MakerDao hoặc dForce xâm phạm. Là một lĩnh vực con trong không gian tiền điện tử, DeFi vẫn còn rất non trẻ.

Đó có thực sự là trách nhiệm của dForce không?

Leshner cho biết công ty dForce “sao chép/dán Hợp chất v1 mà không thay đổi”. Theo Leshner, công ty cáo buộc rằng mã Complex v1 “không có sai sót”, nhưng nhóm này thận trọng với tài sản mà nó niêm yết, theo ông. tweet của quý vị. Theo Leshner, nhóm dForce đã sao chép mã mà họ không hiểu đầy đủ từ Hợp chất và triển khai bất hợp pháp mã đó như của riêng mình trong khi thay đổi một số bộ phận mà không nhận ra các vấn đề bảo mật liên quan.

Cũng có trọng lượng là Kerr. Kava Labs — một nền tảng cho vay DeFi tương tự MakerDao, nhưng trong khi MakerDao chỉ chấp nhận token ETH thì nền tảng Kava chấp nhận bất kỳ tài sản nào bao gồm Bitcoin, Ripple (XRP), Đồng tiền Binance (BNB) và vũ trụ (ATOM), có thể được sử dụng để đúc USDX, stablecoin của nền tảng. Những cột mốc quan trọng trong sự phát triển của nền tảng này diễn ra trước khi dForce loại bỏ tên mã USDX cho stablecoin của riêng họ. Kerr chia sẻ rằng Kava đặt mục tiêu đưa USDX trở thành một công ty lớn trong hệ thống tài chính toàn cầu.

Dựa trên tài khoản của Kerr với Cointelegraph và được nêu trong trả lời gửi Leshner trên Twitter, dForce đã tiếp thị mạnh mẽ Lendf.me ra thế giới mà không thực hiện các cuộc kiểm tra rất cơ bản trước tiên: “Một cuộc kiểm toán cơ bản từ bất kỳ công ty có uy tín nào cũng sẽ phát hiện ra điều này - việc tái đăng ký là một vấn đề đã biết và dễ dàng kiểm tra. Ngoài việc đánh cắp mã của Hợp chất, DForce còn đánh cắp tên và mã thông báo USDX của Kava — mặc dù chúng tôi đã công bố mã thông báo của mình nhiều tháng trước khi họ có nền tảng.” Kerr thừa nhận, “Đó là một ví dụ khủng khiếp về những gì DeFi không nên có.”

Vì niềm tin là nền tảng trọng tâm và quan trọng nhất cho mối quan hệ giữa một người và tiền của họ, Kerr tin rằng trách nhiệm thuộc về “cả nhóm dForce và người dùng ứng dụng”. Anh ấy tiếp tục: 

“dForce không hiểu họ đang làm gì và tiếp thị một sản phẩm không an toàn. Người dùng đã không tự mình thẩm định nhóm hoặc cơ sở mã để xác định xem sản phẩm có an toàn để sử dụng hay không.” 

DeFi không nên trơ tráo

Như trước đây báo cáo bởi Cointelegraph, hacker của dForce đã sử dụng mã thông báo imBTC làm “con ngựa trojan” của cuộc tấn công - như một lớp bọc Ethereum cho Bitcoin. Leshner giải thích rằng lỗi bảo mật xuất phát từ một cuộc tấn công reentrancy đã biết: “Đây là cuộc tấn công tiếp theo cuộc tấn công imBTC Uniswap ngày hôm qua”. Anh ấy tiếp tục nói, “imBTC là mã thông báo ERC-777 và không phải là tài sản Ethereum thông thường. Các hợp đồng thông minh bao gồm imBTC phải hết sức thận trọng và viết mã bổ sung để bảo vệ khỏi các cuộc tấn công quay trở lại.”

Đây được coi là lỗ hổng phổ biến của tiêu chuẩn ERC-20 phổ biến, đặc biệt khi được sử dụng trong bối cảnh DeFi.

DeFi không nên có trên Ethereum

Theo Kerr, kiến ​​trúc của mạng Ethereum không đáp ứng nhu cầu mở rộng và bảo mật của lĩnh vực DeFi, vì mức độ thử nghiệm cần thiết để đạt được tất cả các kết quả là vô hạn trong ngôn ngữ lập trình Solidity, theo Kerr. Ông nói: “Vì những lý do này và nhiều lý do khác, các dự án hàng đầu bao gồm Binance, Cosmos và Kava đã chọn rời khỏi hệ sinh thái Ethereum để đến với những đồng cỏ xanh hơn”.

“Xây dựng bất kỳ dịch vụ tài chính nào trên Mạng Ethereum đều có vấn đề về bảo mật. Việc kiểm tra các kết quả có thể xảy ra và các lỗi của Solidity là gần như không thể vì nó có thể thực hiện hầu như mọi thứ như một Ngôn ngữ hoàn chỉnh Turing. Mặc dù mạnh mẽ nhưng đây có lẽ là môi trường tồi tệ nhất để xây dựng cơ sở hạ tầng tài chính,” Kerr cho biết. Ông coi một trong những đề xuất giá trị của Kava là nó bắt nguồn từ các tiêu chuẩn bảo mật như một nền tảng được xây dựng có mục đích cho tất cả các tài sản yêu cầu dịch vụ DeFi an toàn là ưu tiên hàng đầu.

DeFi phải an toàn và bảo mật

Lendf tự gọi mình là “Giao thức cho vay DeFi stablecoin được hỗ trợ bằng tiền pháp định lớn nhất cho đến nay”. Vấn đề là Lendf đã quá tập trung vào việc huy động vốn, tăng trưởng và mở rộng để duy trì danh tiếng lớn nhất, tốt nhất và “stablecoin được hỗ trợ bằng tiền pháp định lớn nhất”. Thay vì tập trung vào việc cải thiện mã để bảo mật, hiểu cơ sở mã, sửa lỗi và phát hành các sản phẩm bảo mật, công ty đã tập trung quá mức vào lợi nhuận và trạng thái được nhận thức.

Ví dụ: các cuộc kiểm tra cơ bản đã bị thiếu hoàn toàn và nhóm đã vượt qua các rào cản quá nhanh, dẫn đến một lỗ hổng bảo mật vẫn chưa được giải quyết.

Theo Leshner, người tweeted chi tiết về cách công ty đã đánh cắp mã của Hợp chất: “Nếu một dự án không có chuyên môn để phát triển hợp đồng thông minh của riêng mình, thay vào đó lại đánh cắp và triển khai lại mã có bản quyền của người khác, đó là dấu hiệu cho thấy họ không có năng lực hoặc ý định để xem xét an ninh.” Sau đó, ông khuyến khích các nhà phát triển và người dùng rút ra một bài học quý giá: Đừng đưa tiền của bạn cho một công ty mà bạn không thể tin tưởng.

Kerr của Kava Labs tiếp tục trích dẫn phương châm “di chuyển nhanh và phá vỡ mọi thứ” của Giám đốc điều hành Facebook Mark Zuckerberg, cụ thể: 

“Đó là một câu nói tuyệt vời dành cho phần mềm cơ bản và các công ty khởi nghiệp, nhưng chắc chắn đó là lời khuyên tồi tệ nhất khi xây dựng cơ sở hạ tầng tài chính như cuối tuần vừa qua đã cho thấy.”

DeFi nên tập trung vào người dùng 

Kerr cũng chia sẻ: “Tại Kava, tất cả mã của chúng tôi đều được xây dựng từ đầu, ở Golang, trong các mô-đun rất kín đáo dành cho các hành động rất cụ thể mà chúng tôi có thể kiểm tra và xác minh. Điều này có nghĩa là chúng tôi hoàn toàn có thể kiểm tra mã với độ tin cậy rất cao về tính chính xác và bảo mật của nó.” Anh ấy tiếp tục:

“Chúng tôi coi trọng sự an toàn của tiền của người dùng và đặt nó lên hàng đầu trong mọi việc chúng tôi làm. Chúng tôi chạy các mạng thử nghiệm, tiến hành kiểm tra của bên thứ 3 và có sự đánh giá ngang hàng đáng kể trước khi bất kỳ mã nào xuất hiện trên nền tảng Kava. Hơn nữa, tất cả mã mới phải được xem xét và bỏ phiếu bởi nhóm xác thực bảo mật và đặt cọc $KAVA, bao gồm các nhà khai thác hiểu biết về kỹ thuật như Binance, OKEx, Huobi, Bitmax, Hashkey, Lemniscap, SNZ, Dokia Capital và Framework Ventures.”

DeFi nên xác minh để tin tưởng

Chỉ tin tưởng vào một công ty là chưa đủ vì họ có những nhà đầu tư tên tuổi, như chúng ta đã thấy trường hợp của dForce và MakerDao. Tuy nhiên, chúng ta thường nghe thấy “tin tưởng và xác minh” trong khi có lẽ chúng ta nên nghe “xác minh và tin tưởng” từ cộng đồng DeFi.

Trong khi Leshner là Giám đốc điều hành của Hợp chất, anh ấy cũng là nhà đầu tư cá nhân cho Kava Labs cùng với những người ủng hộ hàng đầu khác như Arrington XRP Capital. Đội ngũ kỹ thuật xuất sắc của Kava và việc tuân thủ nghiêm ngặt các biện pháp bảo mật là điều khiến các kiểm toán viên nói về mã của họ. Trước khi Kava Labs ra mắt, nền tảng cho vay đã thực hiện cuộc kiểm toán chuyên nghiệp bởi CertiK — công ty kiểm toán và xác minh chính thức hàng đầu. Trong một bài đăng trên blog về kết quả kiểm toán, CertiK quy định, “Kava là một trong những cơ sở mã tốt nhất mà Certik từng thấy từ một dự án cho đến nay, đặc biệt là trong lĩnh vực Tài chính phi tập trung.”

Cuối cùng, Kerr đã đưa ra kết luận cao: “Tôi thực sự khuyến khích bất kỳ ai nghĩ đến việc sử dụng giao thức DeFi trước tiên hãy kiểm tra năng lực kỹ thuật của nhóm, kiểm tra các nhà đầu tư siêng năng về mặt kỹ thuật và kiểm tra xem các cuộc kiểm toán và đánh giá ngang hàng đã được thực hiện chưa. Ngay cả khi đó, giả sử sẽ luôn có một số rủi ro kỹ thuật và rủi ro thị trường khi nói đến giao thức DeFi. Đó là một không gian trẻ trung và sẽ còn nhiều bài học đau đớn như thế này sắp tới.”

Các quan điểm, suy nghĩ và ý kiến ​​thể hiện ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến ​​của Cointelegraph.

Nguồn: https://cointelegraph.com/news/the-defi-hack-what-decentralized-finance- Should-and- Shouldnt-be