Các dự án fintech mới đang xuất hiện hàng ngày trên thị trường để nhanh chóng tận dụng tình cảm của thị trường nghiêng về DeFi. Tính đến ngày hôm nay, các sản phẩm DeFi có tài sản kỹ thuật số trị giá hơn 42 tỷ đô la được khóa trong các hợp đồng thông minh của họ. Điều này thu hút các nhà đầu tư và tin tặc tội phạm đến DeFi, dẫn đến hầu hết các bản hack DeFi đến nay.

Các công ty đang nhanh chóng tung ra các ý tưởng DeFi mới của họ và kiếm tiền mà họ thường bỏ qua việc xác minh và xác thực bảo mật thích hợp của sản phẩm. Điều này tạo ra mối đe dọa bảo mật tiềm ẩn khiến hàng trăm triệu tài sản kỹ thuật số gặp nguy hiểm. Nhiều dự án chỉ là thoát lừa đảo và gian lận. Điều khiển sự non nớt tương đối này trên thị trường DeFi, các kiểu tấn công DeFi mới đang xuất hiện. Một số cuộc tấn công liên quan đến việc rút cạn các bể thanh khoản, thao túng toàn bộ thị trường bằng các phép lạ về giá và các cuộc tấn công cho vay chớp nhoáng.

Theo một báo cáo bởi công ty phân tích bảo mật, CipherTrace, một nửa trong số các vụ hack tiền điện tử năm 2020 là từ các giao thức và sàn giao dịch DeFi. Số tiền bị đánh cắp từ vụ hack lớn nhất, KuCoin trị giá 281 triệu đô la, đã được rửa thông qua sàn giao dịch DeFi, Uniswap.

Theo DeFi Security Synopsis của QuillHash Technologies, kể từ năm 2020, chỉ riêng các cuộc tấn công cho vay nhanh đã kiếm được gần 150 triệu đô la từ các dự án DeFi.

DeFi an toàn và rủi ro như thế nào?

Các sản phẩm của DeFi được xây dựng trên blockchain không được phép và tự chủ, không có mô hình quản trị trung tâm như các tổ chức tài chính truyền thống. Blockchains không yêu cầu bất kỳ KYC nào của người dùng để duy trì quyền riêng tư của họ. Vì vậy, hầu hết các dự án DeFi yêu cầu không hoặc tối thiểu xác minh khách hàng. Điều này khiến chúng dễ bị tấn công và trở thành mục tiêu béo bở cho những người dùng độc hại. Ngoài ra, tiền sau khi bị đánh cắp có thể được che giấu để truy tìm. Với các hành động không thể thay đổi trên blockchain, không thể thu hồi các giao dịch có chứa tiền bị đánh cắp. Và không có bất kỳ tác nhân độc hại nào ngừng sử dụng bất kỳ giao thức nào.

Chức năng của DeFi được mã hóa trong các hợp đồng thông minh cho các thỏa thuận kỹ thuật số giữa các bên tham gia. Sự đổ xô trên thị trường để tung ra các sản phẩm và việc thiếu kiến ​​thức tài chính cần thiết đôi khi là nguyên nhân dẫn đến những sai lầm trong giao thức. Đây có thể là lỗi trong mã hóa hoặc có thể là lỗi trong logic kinh doanh mà các nhà phát triển không lường trước được bất kỳ sơ hở nào. Ngoài ra, một số tin tặc đã lợi dụng các sai sót trong các tiêu chuẩn mã thông báo đã được thiết lập như ERC-20 và ERC-777 mà các dự án này dựa trên. Điều này là do sự non nớt tương đối trên thị trường. Các công ty hiện đang lựa chọn để kiểm tra và đánh giá bảo mật thích hợp để đảm bảo không có lỗ hổng.

Đôi khi những người sáng lập dự án DeFi Những người sáng lập lợi dụng vị trí của họ.

Các sản phẩm của DeFi sử dụng phép toán về giá để cung cấp dữ liệu bên ngoài vào các hợp đồng thông minh. Đó có thể là thông tin thời tiết hoặc giá của bất kỳ tài sản tiền điện tử nào ảnh hưởng đến quá trình ra quyết định trong mã. Phần lớn dữ liệu này được cung cấp trực tiếp và được sử dụng mà không cần xác minh trong các hợp đồng thông minh. Bất kỳ độ trễ hoặc thao tác nào trong dữ liệu được cung cấp từ oracle đều có thể tạo ra lỗi trong toàn bộ hệ thống.

Đôi khi các bot lạm dụng được sử dụng để thao túng thị trường. Các chiến lược của họ tương tự như “giả mạo”, một phương thức trong đó các bot được sử dụng để nhập các đơn đặt hàng giả chỉ để hủy chúng. Điều này nhằm mục đích lừa các nhà đầu tư khác mua hoặc bán một tài sản bằng cách báo hiệu sai rằng có nhiều cung hoặc cầu hơn.

Một số mã thông báo DeFi được phát hiện dưới dạng các trò gian lận bơm và bán phá giá được phát triển để lừa gạt các nhà đầu tư. Một nhóm nhỏ các nhà đầu tư có ảnh hưởng chọn và mua mã thông báo DeFi có vốn hóa thị trường thấp, do đó gây ra bước nhảy vọt ban đầu về giá của nó. Họ sử dụng lượng người theo dõi khổng lồ của mình trên phương tiện truyền thông xã hội để thuyết phục các nhà đầu tư không nghi ngờ DeFi mua mã thông báo bằng cách cung cấp thông tin sai lệch tuyên bố rằng mã thông báo sắp đạt được lợi nhuận đáng kể. Một khi đủ các nhà đầu tư đã nhầm vào việc mua mã thông báo và giá của nó đã tăng đủ, nhóm các nhà đầu tư ban đầu bán số tiền nắm giữ của họ để chốt lời, trước khi giá sụp đổ và tất cả các nhà đầu tư sau đều thua lỗ nặng.

Hack nổi tiếng

Những trò gian lận DeFi thường được cộng đồng gọi là những trò kéo thảm đã gây nguy hiểm cho số phận của nhiều tài sản tiền điện tử. Dưới đây là các ví dụ về các vụ hack nổi tiếng:

Reentrancy Attack trên Lendf.me:

Vào tháng 2020 năm 25, một tin tặc đã đánh cắp tài sản kỹ thuật số trị giá 777 triệu đô la từ Lendf.me, một thị trường do dForce tạo ra bằng cách khai thác lỗ hổng gần đây. Nó đã khai thác lỗ hổng ERC-777 để rút tiền khỏi hợp đồng thông minh. Vụ hack diễn ra sau khi dForce cho phép imBTC, một tài sản Bitcoin tổng hợp theo tiêu chuẩn ERCXNUMX, được sử dụng làm tài sản thế chấp trên Lendf.Me.

Như một tính năng, ERC-777 cho phép hợp đồng mã thông báo cho người gửi và người nhận khi mã thông báo được gửi hoặc nhận từ tài khoản của họ. Một phản ứng có thể xảy ra đối với sự kiện như vậy là nhập lại hợp đồng ERC777 và gọi một lần gửi khác. Khi Lendf.Me kích hoạt việc sử dụng imBTC làm tài sản thế chấp, thông báo gọi lại ERC777 được kích hoạt đã khiến Lendf.Me dễ bị tấn công bởi các cuộc tấn công lần đầu tiên.

Kẻ tấn công lần đầu tiên gửi trung thực một lượng lớn imBTC làm tài sản thế chấp. Sau đó, họ kích hoạt một khoản tiền gửi imBTC khác, nhưng trong vòng gọi lại và trước khi chuyển khoản imBTC thực sự, họ đã rút khoản tiền gửi imBTC ban đầu của mình. Mã của Lendf.Me không tính đến việc chuyển giao hoặc thực thi như vậy để gọi lại có thể thực hiện được và thực hiện cập nhật trạng thái quan trọng sau khi quá trình chuyển hoàn tất dựa trên dữ liệu được lưu trữ trong các biến cục bộ. Do đó, sau khi giảm tài sản thế chấp của kẻ tấn công một cách hợp lý trong lần rút tiền được nối, mã đã ghi đè giá trị tài sản thế chấp của kẻ tấn công khi việc thực thi quay trở lại khoản tiền gửi đang được thực hiện. Do đó, cả hai hoạt động này cùng ghi nhận sự gia tăng tài sản thế chấp ròng. Bằng cách tiếp tục thực hiện cuộc tấn công tương tự, theo quan điểm của giao thức, số dư tài sản thế chấp của kẻ tấn công đã tăng lên hơn 25 triệu USD: tuy nhiên, imBTC mà kẻ tấn công sử dụng trong khi thực hiện cuộc tấn công đã có trong tài khoản cá nhân của họ.

Điều này cho phép kẻ tấn công kết thúc cuộc tấn công của họ bằng cách “vay” tất cả thanh khoản trong mỗi thị trường cho vay trong số 12 thị trường cho vay với tài sản thế chấp không có bên trong Lendf.Me. Tuy nhiên, sau khi nhận được áp lực từ chính quyền và dForce, hacker đã trả lại gần như toàn bộ số tiền.

Khai thác Tài chính Thu hoạch (FARM):

Vào ngày 26 tháng 2020 năm 24, ai đó đã lợi dụng một lỗ hổng trong một trong những chiến lược đầu tư được lập trình của Harvest để đánh cắp XNUMX triệu đô la Mỹ trong stablecoin. Harvest là một công cụ tổng hợp năng suất DeFi. Người dùng bỏ tiền vào nó và nó sẽ tự động gộp lại và đầu tư những khoản tiền đó vào nhiều ứng dụng DeFi khác với hứa hẹn mang lại lợi nhuận lớn. Đường cong là một nhóm thanh khoản nơi người gửi tiền Harvest có thể kiếm được lợi nhuận bằng cách trở thành nhà cung cấp thanh khoản.

Kẻ tấn công đã khai thác thực tế rằng Harvest sử dụng nguồn cấp dữ liệu giá Đường cong để tính toán giá trị của cổ phiếu nhóm của nó. Harvest cần kiểm tra giá để tính toán lượng cổ phiếu mà ai đó nhận được khi họ vào nhóm nuôi Curve (tiền gửi) và bao nhiêu cổ phiếu mà họ từ bỏ khi rời khỏi nhóm (rút tiền). Kẻ tấn công đã thao túng giá trên Curve để anh ta có thể yêu cầu một phần lớn hơn của nhóm tiền gửi trong Harvest bằng cách tăng giá của tài sản ký gửi và từ bỏ một phần nhỏ hơn của nhóm khi rút tiền bằng cách giảm giá trước khi thực hiện rút tiền .

Hacker đã sử dụng hai cọc tiền, một cho Curve và một cho Harvest. Đường cong chồng chất đủ lớn để hoán đổi qua lại giữa USDT và USDC trên Đường cong, để di chuyển giá của USDT và USDC ở đó và lần lượt thay đổi giá mà Harvest đang sử dụng để đánh giá tiền gửi và rút tiền. Nhóm thu hoạch được sử dụng để ký gửi và rút tiền từ Thu hoạch kịp thời với sự thay đổi giá. Bằng cách sử dụng các khoản tiền này và các khoản vay nhanh, kẻ tấn công đã có thể kiếm được 24 triệu đô la cuối cùng bằng cách chỉ trả 10 ete tiền xăng.

Để thực hiện vụ tấn công, kẻ tấn công đã vay nhanh 18.3 triệu USDT và 50 triệu USDC. Anh ta đã chuyển đổi 17.2 triệu USDT thành USDC trên Curve, đẩy giá USDC của Curve lên. Sau đó, anh ta đặt cọc 50 triệu USDC vào Harvest, và nhờ giá USDC tăng cao, anh ta đã nhận được 51.5 triệu cổ phiếu (được gọi là fUSDC). Anh ta đã chuyển đổi USDC trở lại thành USDT trên Curve, đẩy giá trở lại. Vào Harvest, ông đã chuyển đổi 51.5 triệu fUSDC thành 50.6 triệu USDC theo tỷ giá hiện hành và rút USDC.

Kẻ tấn công đã lặp lại chuỗi này 17 lần trong 4 phút đối với nhóm USDC, sau đó sao chép nó 13 lần trong vòng 3 phút đối với nhóm USDT. TôiCuối cùng, họ rút lợi nhuận chính xác là 13 triệu USDC và 11 triệu USDT sang một ví khác.

Câu chuyện về Sushiswap:

Sushiswap là một nhánh của sàn giao dịch phi tập trung phổ biến, Uniswap. Người sáng lập Sushiswap, Chef Nomi, đã rút khoảng 14 triệu đô la tiền quỹ nhà phát triển và gần như đánh chìm toàn bộ dự án, đe dọa biến nó thành một trò lừa đảo tiềm năng. Vào ngày 5 tháng 2020 năm 10, người sáng lập ẩn danh đã phân bổ 80% của tất cả các mã thông báo SUSHI cho quỹ phát triển của dự án. Vì anh ấy là nhà phát triển duy nhất, anh ấy đã tự kiếm lấy tài sản và sau đó truy tìm các khoản tiền đó cho ETH trên Uniswap, khiến giá của mã thông báo SUSHI giảm hơn XNUMX% trong một ngày. Cộng đồng phẫn nộ cáo buộc Chef Nomi thực hiện một vụ lừa đảo xuất cảnh. Cuối cùng, người sáng lập đã công khai xin lỗi trên Twitter và trả lại tiền.

Tấn công trao đổi bZx:

bZx là một nền tảng cho vay, cho vay và ký quỹ được mã hóa. Cuộc tấn công là một giao dịch đơn lẻ vay hàng triệu đô la trong một khoản vay nhanh và chuyển các khoản tiền này thông qua một số giao thức DeFi để thao túng và khai thác tài sản thế chấp của bZx một cách tinh vi. Kẻ tấn công đã vay 10 triệu đô la ETH thông qua khoản vay nhanh từ DyDx, không đăng ký tài sản thế chấp trong quá trình này. Đã sử dụng 5 triệu đô la trong ETH để mua một vị thế ngắn 5 lần trên sổ ETH-wBTC trên bZx. BZx đã chuyển tiếp đơn đặt hàng tới KyberSwap, công ty đã khảo sát tỷ lệ tốt nhất có thể và cuối cùng đã hoàn thành đơn đặt hàng trên Uniswap. Điều này dẫn đến sự trượt giá đáng kể và khiến giá wBTC của Uniswap cao hơn gấp 3 lần.

Kẻ tấn công đã mang 5 triệu đô la ETH khác đến Hợp chất và mượn một đống wBTC để làm tài sản thế chấp ETH. Anh ta đã sử dụng wBTC vay mượn này để bán vào giá tăng cao của Uniswap. Sử dụng lợi nhuận và số tiền thu được, khoản vay nhanh đã được thanh toán đầy đủ, giao dịch đã hoàn tất thành công.

Hoạt động này dẫn đến lợi nhuận trực tiếp là 71 ETH, cùng với khoản vay đang hoạt động trên Hợp chất trị giá 1200 ETH, cho lợi nhuận ròng là 1271 ETH (trị giá 355 nghìn đô la vào thời điểm đó). Giao dịch này cũng dẫn đến một khoản vay bZx đang hoạt động, đây là nguyên nhân dẫn đến khoản lỗ. Cơ chế quan trọng là khả năng thực hiện một vị thế bán khống ký quỹ lớn gấp 5 lần trên một cuốn sách được giao dịch mỏng (ETH-wBTC) dẫn đến sự trượt giá đáng kể. BZx được thiết kế để bảo vệ chống lại điều này, nhưng kẻ tấn công đã tìm thấy một lỗi thông minh đã bỏ qua các bước kiểm tra này. Lần giám sát này khiến nhóm tài sản thế chấp bZx thua lỗ sâu.

Một cuộc tấn công thứ hai xảy ra thông qua một thợ máy tương tự. Một khoản vay nhanh đã được sử dụng để tăng giá Synthetix USD của Uniswap lên 2 đô la (thay vì 1 đô la) và kẻ tấn công sau đó gửi sUSD vào bZx làm tài sản thế chấp (với mức giá tăng cao này) để vay nhiều ETH hơn mức chúng đáng lẽ được phép. Sau đó, họ bỏ chạy với số tiền đã vay mà không có ý định trả lại khoản vay bZx dưới nước, thu về cho kẻ tấn công 2,378 ETH (sau khi trả lại khoản vay nhanh), trị giá 630 nghìn đô la vào thời điểm đó.

Trong phần tiếp theo của bài viết, chúng tôi sẽ đề cập đến một số cuộc tấn công nổi tiếng khác vào giao thức DeFi.