Vụ “hack” DAO đã đi sâu vào ký ức chung của cộng đồng tiền điện tử. Sau khi gây quỹ cộng đồng cực kỳ thành công vào tháng 2016 năm XNUMX, DAO kéo dài hơn một tháng trước khi kẻ tấn công bắt đầu rút tiền từ hợp đồng thông minh, lấy đi số Ether trị giá khoảng 70 triệu đô la (ETH).
Tuy nhiên, như một số người đã chỉ ra vào thời điểm đó, sự cố DAO hoàn toàn không phải là một vụ hack. Kẻ tấn công chỉ đơn giản khai thác lỗ hổng trong mã hợp đồng thông minh cơ bản để khiến nó hoạt động theo cách mà các lập trình viên không mong đợi. Tuy nhiên, sự việc đã chia rẽ Ethereum cộng đồng sau khi có quyết định triển khai hard fork để trả lại tiền.
Chuyển nhanh đến đầu năm 2020, và đã có tiền điện tử trị giá hơn 1 tỷ USD bị ràng buộc trong tài chính phi tập trung. Đó là 1 tỷ USD được quản lý bởi các hợp đồng thông minh. Vì vậy, xét theo lịch sử, có lẽ không thể tránh khỏi việc cuối cùng ai đó sẽ tìm ra cách làm cho các ứng dụng này hoạt động theo cách mà không ai có thể đoán trước được. Lần đầu tiên đến vào tháng 2020 năm XNUMX, với hai cuộc tấn công riêng biệt vào bZx nền tảng giao dịch phi tập trung. Gần đây hơn, một hacker kiếm được 25 triệu USD từ nền tảng cho vay Trung Quốc Lendf.me, do dForce điều hành.
Ngay cả khi tin tặc không tham gia, các ứng dụng DeFi vẫn bộc lộ những lỗ hổng khác. Trong “Thứ Năm Đen” của tiền điện tử vào giữa tháng 3, MakerDAO thanh lý khoản vay trị giá hơn 4 triệu USD khi giá ETH giảm mạnh. Vụ tai nạn dẫn đến một cuộc bỏ phiếu quản trị nhanh chóng và đấu giá nợ để khắc phục thiệt hại.
Phần lớn các bình luận tập trung vào việc liệu DeFi có thể phục hồi sau những thất bại này hay không. Dựa trên lịch sử của sự cố The DAO, có vẻ như DeFi sẽ phục hồi là điều không thể tránh khỏi. Có lẽ câu hỏi thích hợp hơn là, các nhà khai thác DeFi DApp có thể học được gì từ những sự cố như vậy để giúp tránh chúng xảy ra trong tương lai?
Chiến thắng dễ dàng từ dForce
Sự cố gần đây nhất liên quan đến vụ hack Lendf.me mang lại một số chiến thắng dễ dàng. Nền tảng này là DApp cho vay lớn nhất của Trung Quốc. Tuy nhiên, hóa ra vụ hack được thực hiện là do dForce đã sao chép mã từ phiên bản trước đó của Hợp chất, một ứng dụng cho vay phi tập trung khác. Mã cũ của Hợp chất không thể bảo vệ khỏi loại tấn công được gọi là “reentrancy” dành riêng cho mã thông báo ERC-777.
Do sự cố này, Hợp chất không hỗ trợ mã thông báo ERC-777. Tuy nhiên, có vẻ như khi dForce sao chép mã, nó không thực sự hiểu được lỗ hổng này, vì nó không áp dụng các biện pháp tương tự, cho phép sử dụng mã thông báo ERC-777 trên Lendf.me. Do đó, kẻ tấn công đã khai thác lỗ hổng này, sử dụng mã thông báo imBTC ERC-777 để rút 25 triệu USD khỏi nền tảng.
Kể từ đó hacker đã trả lại tiền, nhưng bản thân điều này hầu như không phải là một biện pháp phòng thủ. Theo báo cáo của Cointelegraph, dForce đã phải đối mặt với những lời chỉ trích vì không thực hiện đủ các biện pháp để ngăn chặn một cuộc tấn công như vậy. Vì vậy, nếu cho rằng dForce đơn giản là không biết về vấn đề này thì làm sao họ có thể tránh được nó? Alex Melikhov, Giám đốc điều hành và đồng sáng lập của Equilibrium — nhà phát hành đồng tiền dựa trên EOS stablecoin EOSDT — là một người rất yêu thích ý tưởng đánh giá ngang hàng. Ông nói với Cointelegraph rằng “việc xem xét mã của bên thứ ba có thể ngăn chặn sự cố”, ông nói thêm:
“Một khía cạnh quan trọng ở đây là xây dựng khung thử nghiệm và kiểm tra mã. Nguyên tắc bốn mắt có thể áp dụng hoàn hảo cho việc phát triển mã và chắc chắn giảm thiểu rủi ro về lỗ hổng bảo mật. Bất chấp sự hợp tác của dForce với PeckShield (người đã kiểm toán công khai giao thức USDx và Yield Enhancing), có vẻ như các kiểm toán viên vẫn chưa kiểm tra mã của giao thức cho vay LendfMe.”
Dan Schatt, Giám đốc điều hành và đồng sáng lập nền tảng cho vay tập trung Cred, đồng ý, thậm chí còn gợi ý rằng cộng đồng có thể đóng một vai trò nào đó ở đây. Ông tuyên bố với Cointelegraph: “Tiền thưởng phát hiện lỗi có thể giúp khuyến khích cộng đồng tìm kiếm loại lỗ hổng có thể dẫn đến các cuộc tấn công và khai thác các loại lỗ hổng này”.
Tại thời điểm xuất bản, dForce đã có xác nhận rằng 100% người dùng bị ảnh hưởng bởi cuộc tấn công đã được hoàn trả thông qua nỗ lực phân phối lại tài sản của mình. Về phần mình, dForce đã đáp ứng yêu cầu bình luận của Cointelegraph. Mindao Yang, người sáng lập dForce, đã tuyên bố rằng sau khi suy ngẫm:
“Một cuộc tấn công tương tự đã diễn ra trong vụ hack nhóm Uniswap/imBTC trước sự cố [Lendf.me]. Lỗ hổng Uniswap, liên quan đến mã thông báo ERC777, đã được biết đến từ cuối năm 2018, nhưng sự kết hợp giữa mã thông báo ERC777 và mã Hợp chất V1 giới thiệu bề mặt tấn công reentrancy chỉ khiến chúng tôi chú ý sau sự cố. Lẽ ra chúng tôi có thể cảnh giác hơn khi vụ hack nhóm Uniswap/imBTC xảy ra và lẽ ra phải cẩn thận hơn khi đưa tài sản mới vào.”
Yang tiếp tục nói rằng nền tảng này có kế hoạch tránh các cuộc tấn công tương tự và sẽ tuyển dụng một số chuyên gia bên ngoài trong tương lai:
“Chúng tôi sẽ thuê các chuyên gia tư vấn bảo mật bên thứ ba giỏi nhất để hỗ trợ kiểm tra toàn diện và giúp chúng tôi củng cố các biện pháp bảo mật trong tương lai. Chúng tôi sẽ tìm thời điểm thích hợp để triển khai lại giao thức thị trường tiền tệ phi tập trung mới và các giao thức khác. Trong tương lai, với sự giúp đỡ của họ, chúng tôi sẽ giới thiệu một quy trình tích hợp được kiểm toán nghiêm ngặt khi đưa tài sản vào hệ sinh thái dForce.”
Người phát ngôn xác nhận rằng thông tin chi tiết hơn về các hành động được thực hiện liên quan đến vấn đề này sẽ được chia sẻ trong một bài đăng trên blog trong tương lai.
BZx - một vấn đề phức tạp hơn
Trước sự cố dForce gần đây, nền tảng giao dịch DeFi bZx đã bị tấn công hai lần trong vòng một tuần. Các cuộc tấn công này ít liên quan đến mã lỗi hơn so với tính non nớt và tính thanh khoản tương đối thấp của không gian tiền điện tử nói chung. Sàn giao dịch phái sinh – dù là tập trung hay phi tập trung – đều dựa vào các dự đoán về giá. Chúng thường được lấy từ thị trường giao ngay, sử dụng mức giá trung bình từ nhiều sàn giao dịch.
Trong trường hợp nền tảng DeFi, nguồn cấp giá đến từ các sàn giao dịch phi tập trung như Uniswap và Kyber. Vấn đề là do một số token có tính thanh khoản thấp trên các nền tảng này nên việc thao túng giá tương đối dễ dàng.
Liên quan: Các cuộc tấn công cho vay chớp nhoáng BZx có phải là tín hiệu cho sự kết thúc của DeFi không?
BZx đã xử lý tốt sự cố, bồi thường 900,000 USD tổn thất cho người dùng từ quỹ bảo hiểm. Các nhà nghiên cứu Deribit Su Zhu và Hasu trước đây đã Giải thích các nhà tiên tri về giá dễ bị thao túng như thế nào ngay cả trên các sàn giao dịch tập trung như BitMEX. Trong DeFi, nơi các sàn giao dịch phi tập trung dựa vào dữ liệu tiên tri về giá, người ta có thể nói rằng tai nạn này đã xảy ra.
Tuy nhiên, nó đưa ra một câu hỏi hóc búa hấp dẫn – cách duy nhất để giải quyết thách thức là thu hút nhiều người dùng hơn để bơm thanh khoản vào DEX nhằm giảm thiểu lỗ hổng bị thao túng. Tuy nhiên, miễn là có nguy cơ cạn tiền, DeFi sẽ gặp khó khăn trong việc thu hút người dùng.
Lỗ hổng chính
Cuối cùng, chuyển sang sự kiện Thứ Năm Đen tối gần đây, đã gây ra tình trạng thanh lý hàng loạt trên MakerDAO: Mặc dù sự sụp đổ về giá hoàn toàn nằm ngoài tầm kiểm soát của Maker, nhưng có bài học nào có thể rút ra từ nó không?
Sự cố vào tháng 3 và các đợt thanh lý sau đó đã dẫn đến một cuộc bỏ phiếu nhằm thay đổi các thông số đấu giá của Maker và giới thiệu USDC, một loại tài sản thế chấp không tương quan với thị trường tiền điện tử. Những người gièm pha DeFi chắc chắn sẽ chế giễu sự trớ trêu của việc một stablecoin được hỗ trợ bằng tiền điện tử lại cần được thế chấp bằng một loại tài sản tương đương tập trung.
Tuy nhiên, có lẽ việc Maker giới thiệu USDC cho thấy sự trưởng thành nhất định trong nhận thức của cộng đồng rằng độ tuổi non trẻ của thị trường DeFi có nghĩa là nó cần phải noi gương các đối tác tập trung, tương đối ổn định cho đến khi có thể tự đứng vững trên đôi chân của mình. Rốt cuộc, người sáng lập Maker Rune Christensen gần đây đã nói với Cointelegraph trong một cuộc phỏng vấn rằng ông tin rằng DeFi cuối cùng sẽ hợp nhất với CeFi, minh họa rằng có lẽ việc Maker sử dụng USDC là một dấu hiệu dự báo sớm cho động thái này.
Sau khi đạt được cột mốc 1 tỷ USD trong năm nay, câu hỏi đặt ra là khi nào (chứ không phải nếu) DeFi sẽ phục hồi sau những thất bại này và lấy lại con số đó một lần nữa. Tuy nhiên, thực tế là những thất bại này đã xảy ra chứng tỏ rằng những người sáng lập DeFi không nên tập trung vào việc lĩnh vực này đã đi được bao xa mà thay vào đó là nó vẫn còn phải đi bao xa. Bằng cách học hỏi từ những sự cố gần đây, sẽ có cơ hội phục hồi nhanh hơn.
Nguồn: https://cointelegraph.com/news/defis-recent-costly-setbacks-serve-as-lessons-for-the-sector
