Defi là một hệ sinh thái đang chớm nở với một tương lai tươi sáng. Một số dự án trong hệ sinh thái đầy hứa hẹn và là lựa chọn thay thế tốt hơn cho các dự án tài chính truyền thống. Sự phát triển của hệ sinh thái này cũng rất đáng kinh ngạc. Bất chấp điều đó, với một số khai thác DeFi có một vấn đề còn sót lại mà chỉ có thời gian và mã hóa kỹ lưỡng mới có thể giải quyết được. Do những vấn đề này, sự phát triển của DeFi bị tắc nghẽn.
Một trong những giao thức bị ảnh hưởng gần đây là nền tảng cho vay “Lendforce.me”, trong đó kẻ tấn công đã kiếm được 25 triệu USD. Mindao Yang, Người sáng lập “tổ chức dForce” hỗ trợ Lendf.me, đã nêu trong một blog đăng bài rằng những người dùng bị ảnh hưởng, bao gồm anh ấy và người đồng sáng lập, cùng những người khác.
“Cuộc tấn công này là thất bại của tôi. Dù tôi không thực hiện nhưng đáng lẽ tôi phải lường trước và có biện pháp ngăn chặn. Trái tim tôi hướng về những người bị tổn hại và tôi sẽ làm mọi thứ trong khả năng của mình để biến điều này thành đúng đắn. Tôi chân thành xin lỗi người dùng, các nhà đầu tư mới và nhóm của tôi vì đã khiến họ thất vọng.”
Điều thú vị là 48 giờ sau, số tiền bị đánh cắp đã được kẻ tấn công trả lại. Vài ngày sau, Dương đăng một blog về cách số tiền thu hồi được lưu trữ trong ví lạnh và sẽ được phân phối cho người dùng. Mặc dù số tiền đã được thu hồi và mọi thứ trở lại bình thường tại dForce, nhưng những “bộ xương” tượng trưng trong tủ quần áo của dForce đã được phát hiện vào ngày hôm đó.
Những gì nằm bên dưới?
Robert Leshner, Người sáng lập Tài chính tổng hợp, một nền tảng cho vay phổ biến khác trên DeFi, cáo buộc trong một tweet rằng Lendf.me đã sao chép mã hợp đồng thông minh của Hợp chất.
Lesher đã thêm,
“Nếu một dự án không có chuyên môn để phát triển hợp đồng thông minh của riêng mình, thay vào đó lại đánh cắp và triển khai lại mã có bản quyền của người khác, thì đó là dấu hiệu cho thấy họ không có năng lực hoặc ý định xem xét vấn đề bảo mật. Hy vọng các nhà phát triển và người dùng rút kinh nghiệm từ vụ hack Lendf.Me.”
Điểm mạnh lớn nhất của DeFi cũng là điểm yếu lớn nhất của nó. Không có cơ quan trung ương nào đánh giá rủi ro và do đó, bản thân các hợp đồng thông minh đóng vai trò là đối tác hay còn gọi là tuyến phòng thủ cuối cùng. Nếu không kiểm tra mã đúng cách, hợp đồng thông minh và giao thức có thể bị lỗi do các lỗi có thể bị khai thác. Trong vài tháng qua, rõ ràng là giao thức DeFi cần được xem xét kỹ hơn. Lấy ví dụ, giao thức dYdX cũng bị hai vụ hack liên tiếp và mất tổng cộng 900,000 USD do khai thác mã.
Do đó, rõ ràng là DeFi đang ở giai đoạn sơ khai. Về lý thuyết, DeFi có thể mang tính cách mạng, tuy nhiên, khía cạnh bảo mật dường như chỉ được cân nhắc sau, do đó, điều này đang cản trở các nhà đầu tư nắm giữ các vị trí nghiêm túc trong hệ sinh thái. Kyle Samani của Multicoin Capital đã tóm tắt nó một cách khéo léo trong một webinar như ông giải thích rằng lãi suất hiện tại trên mạng cho vay DeFi không biện minh cho rủi ro.
“Nó sẽ không có ý nghĩa đối với danh mục đầu tư của chúng tôi, vì vậy nó không đáng để dành thời gian”
Hơn nữa, Samani nói thêm rằng các thách thức tăng trưởng của DeFi về bản chất là cơ bản hơn và “các khoản vay thế chấp bằng tiền điện tử không còn thú vị vượt quá giới hạn của các nhà đầu tư Ethereum hiện tại”.
Bất chấp điều đó, một số nhà đầu tư vẫn lạc quan về hệ sinh thái. Nền tảng dForce duy trì hai giao thức, lenf.me và USDx, đã có nâng lên 1.5 triệu đô la trong vòng hạt giống do Multicoin Capital dẫn đầu và có sự tham gia của Huobi Capital và CMB International (CMBI), vài ngày trước vụ hack.
dForce được xếp hạng là giao thức lớn thứ 7 trong hệ sinh thái DeFi với hơn 25.8 triệu USD bị khóa. Mọi thứ có vẻ bình thường đối với dForce vì ngay cả các nhà đầu tư cũng sẵn sàng đầu tư hàng triệu USD vào giao thức được cho là đã sao chép mã của các nền tảng khác.
Mặc dù Rober Leshner cáo buộc rằng Lendf.me đã sao chép mã của Hợp chất, anh ấy từ chối bình luận thêm về vấn đề này khi được liên hệ. Ngoài ra, một người dùng Twitter có tên hiển thị là “DefiMoon” đăng ảnh chụp màn hình của một nhóm Telegram chỉ ra rằng nhóm pháp lý của Hợp chất đang “theo đuổi họ [lendf.me]” và bất kỳ ai đã tích hợp giao thức.
Đang nói chuyện với AMBCrypto, Andre Cronje, Kiến trúc sư DeFi tại Ethereum, xác nhận rằng hợp chất đang truy lùng Lendf.me một cách hợp pháp vì đã sao chép mã, nhưng cho biết thêm, lenf.me “cũng đang làm việc trên phiên bản của riêng họ”.
Tư vấn cho những người tham gia xây dựng các dự án DeFi, Cronje nói:
“Trừ khi bạn có kinh phí để chi trả cho việc kiểm tra bảo mật hoặc bản thân bạn có nền tảng về bảo mật, đừng cố gắng, bạn sẽ mất tiền của mọi người”
Tệ hơn nữa, mã cho giao thức thứ hai mà dForce kiểm soát – nền tảng stablecoin tổng hợp [USDx], cũng bị cho là đã bị đánh cắp. Nói chuyện với AMBCrypto, Kava's Giám đốc điều hành Brian Kerr đã xác nhận sự việc. Anh ấy nói,
“dForce cũng đã đánh cắp tên và mã thông báo USDX của Kava – mặc dù chúng tôi đã công bố mã thông báo của mình nhiều tháng trước khi họ có nền tảng. Nói chung, việc các nhà phát triển phần mềm thông thường sử dụng lại mã là điều bình thường và có thể chấp nhận được… nhưng nó gây ra nhiều vấn đề khi mã đó chịu trách nhiệm về quỹ của mọi người.”
Khi được hỏi liệu Kava có truy đuổi dForce một cách hợp pháp hay không, Kava nhận xét rằng họ sẽ không làm vậy. Tuy nhiên, Kerr nói thêm,
“Tôi không nghĩ việc họ sử dụng USDX là có chủ ý chống lại chúng tôi. Tôi tin rằng họ chỉ không dành thời gian để thẩm định cái tên… Như đã nói, USDx của dForce chỉ là cái bóng của chính nó và không được giao dịch trên bất kỳ sàn giao dịch lớn nào. Tôi không thấy đó là vấn đề đối với Kava.”
Kết luận
Bảo mật không thể là vấn đề muộn màng, đặc biệt đối với một hệ sinh thái đang xây dựng cơ sở hạ tầng tài chính được cải thiện. Hiện tại, các giao thức DeFi có cảm giác như chúng “di chuyển nhanh và phá vỡ mọi thứ”, tuy nhiên, điều chúng nên làm là “di chuyển chậm và kiểm tra mọi thứ”. Vì cả cuộc tấn công bZx và dForce đều do lỗi hợp đồng thông minh nên nhiều dự án DeFi nên triển khai các quy trình khẩn cấp, tiến hành kiểm tra thường xuyên và tung ra các bản cập nhật lũy tiến để vá các vấn đề trong các phiên bản cũ hơn.
Có lẽ, những cuộc tấn công này tiết lộ rằng DeFi là con dao hai lưỡi và các dự án đang chạy cũng như những dự án sắp khởi chạy có thể học hỏi từ các cuộc tấn công và giúp xây dựng một hệ sinh thái DeFi mạnh mẽ hơn.
Lưu ý: AMBCrypto đã liên hệ với dForce, Lendf.me và Mindao Yang để yêu cầu nhận xét nhưng không nhận được nhận xét nào.
Nguồn: https://eng.ambcrypto.com/ethereum-defi-how-dforce-allegedly-copied-other-projects-codes
