Bài viết này là sự tiếp nối của bài viết đề cập đến các vấn đề bảo mật trong DeFi.

Ở đây chúng ta sẽ khám phá thêm một số cách hack DeFi và cách các dự án DeFi mới có thể tránh những vấn đề bảo mật này.

Hack nhà sản xuất:

Vào ngày 12 tháng 2020 năm 8, nền tảng Maker đã gánh khoản nợ hơn 12 triệu đô la do một số khoản vay được thanh lý miễn phí. Sự bất ổn xung quanh virus Corona và cuộc chiến giá dầu bùng nổ đã lên đến đỉnh điểm dẫn đến sự suy thoái nghiêm trọng trên thị trường vốn. Nó dẫn đến sự sụp đổ hoàn toàn của thị trường tiền điện tử vào ngày 13-XNUMX tháng XNUMX. Hoạt động giao dịch bùng nổ trên chuỗi khối Ethereum gây tắc nghẽn mạng và chậm trễ giao dịch.

Nhiều giá trị tài sản thế chấp cho các khoản vay trên nền tảng Maker đã xuống dưới ngưỡng khiến chúng bị thế chấp dưới mức. Đó là do người dùng đã phải chịu sự chậm trễ trong nỗ lực bổ sung thêm tài sản thế chấp. Điều này cho phép người thanh lý tham gia đấu giá để thanh lý khoản vay để nhận một số phần thưởng.

4,447 cuộc đấu giá đã được kích hoạt. Sự tắc nghẽn trong thông lượng mạng trên Ethereum khiến nhiều nhà thanh lý ngừng hoạt động. Các nhà thanh lý còn lại cuối cùng đã hết thanh khoản Dai và không thể đặt giá thầu cho đến vài giờ sau khi họ tìm được thêm Dai. Do đó, không có sự cạnh tranh trong đấu giá. Một tập hợp con của những cuộc đấu giá mà những người đặt giá thầu đã gửi giá thầu có số thập phân trên 0 (“không có người đặt giá thầu” gửi “giá thầu bằng 0”).

Những người giữ cuối cùng đã tìm thấy tính thanh khoản, tăng công suất và điều hướng tình trạng tắc nghẽn để thách thức thành công các giá thầu bằng 0 sau này, giúp khôi phục không gian đấu giá cạnh tranh.

Các sự kiện không có giá thầu vào ngày 12-13 tháng 5.4 đã dẫn đến sự thiếu hụt đấu giá tài sản thế chấp lên tới khoảng XNUMX triệu + Dai.

Hack cân bằng:

Nhà cung cấp thanh khoản DeFi, Balancer Pool trở thành nạn nhân của một vụ hack tinh vi khai thác lỗ hổng, lừa giao thức phát hành số token trị giá 5,00,000 USD. kẻ tấn công đã vay token WETH trị giá 23 triệu đô la, một token được hỗ trợ bằng ether phù hợp cho giao dịch DeFi, trong một khoản vay nhanh từ dYdX. Sau đó, họ giao dịch với chính mình với Statera (STA), một mã thông báo đầu tư sử dụng mô hình phí chuyển nhượng và đốt 1% giá trị của nó mỗi khi giao dịch. Kẻ tấn công đã đi lại giữa WETH và STA 24 lần, làm cạn kiệt nhóm thanh khoản STA cho đến khi số dư gần như bằng không. Bởi vì Balancer cho rằng nó có cùng lượng STA nên nó đã giải phóng WETH tương đương với số dư ban đầu, mang lại cho kẻ tấn công mức ký quỹ lớn hơn cho mỗi giao dịch hoàn thành. kẻ tấn công đã thực hiện cuộc tấn công tương tự bằng cách sử dụng WBTC, LINK và SNX, tất cả đều nhằm vào token Statera.

Theo một phân tích by 1inch, Người đứng sau cuộc tấn công này là một kỹ sư hợp đồng thông minh rất tinh vi với kiến ​​thức và hiểu biết sâu rộng về các giao thức DeFi hàng đầu.

Tài chính nổi bật:

Vào ngày 29 tháng 2020 năm 15, một dòng tweet duy nhất đã gây sốc trong cộng đồng DeFi và cuối cùng dẫn đến vụ thua lỗ 15 triệu đô la. Các nhà phát triển đã tiến hành thử nghiệm “thử nghiệm sản phẩm” cho Eminence Finance, một hệ sinh thái trò chơi NFT. Một hacker đã khai thác nó để đánh cắp XNUMX triệu đô la sau khi các nhà giao dịch đổ xô nuôi EMN. Một dòng tweet của Andre Cronje, người sáng lập Yearn Finance, đã khiến các nhà giao dịch tìm kiếm các hợp đồng và tràn vào giao thức, với hy vọng sớm có được YFI tiếp theo.

Một hacker hiểu biết đã sử dụng một khoản vay nhanh để rút hết số tiền chưa được kiểm tra và bảo mật đúng cách. Anh ta đã sử dụng khoản vay nhanh để đúc EMN trên một đường cong liên kết chặt chẽ nhằm tăng giá. Đối với mỗi EMN được đúc, giá sẽ tăng dần dọc theo đường cong. Khi giá tăng, hacker đã đốt EMN cho bất kỳ eToken nào được bao bọc—phiên bản gốc của các token DeFi phổ biến như Aave của Eminence – để khiến nguồn cung giảm mạnh và tăng giá token một cách đáng kể. Khoảng trống này cho phép hacker thu được số tiền lớn EMN và sau đó bán các token khác để kiếm tiền đệ quy bằng lợi nhuận DAI.

Vụ hack được Cronje giải thích trong các tweet sau:

1/x Đầu tiên là dữ liệu;

1. Hôm qua, chúng tôi đã hoàn thành ý tưởng đằng sau nền kinh tế mới của mình về đa vũ trụ chơi game. Thưa ngài. Theo phương pháp thông thường của tôi, tôi đã triển khai các hợp đồng dàn dựng trên ETH để chúng tôi có thể tiếp tục phát triển nó.

2. Eminence còn ít nhất ~3 tuần nữa mới đến

- Andre Cronje (@AndreCronjeTech) Ngày 29 tháng 2020 năm XNUMX

Arkopolis:

Nền tảng DeFi đã bị vi phạm an ninh nghiêm trọng, bị hack 2 triệu đô la vào ngày 12 tháng XNUMX. Số tiền đã bị đánh cắp từ Akropolis' Curve nhóm thanh khoản được kết nối với dự án. Kẻ tấn công đã thực hiện hành vi khai thác trị giá 50,000 đô la 40 lần, thu về tổng cộng 2 triệu đô la DAI. Trước cuộc tấn công, Akropolis đã trải qua hai cuộc kiểm tra bảo mật do CertiK và một nhóm bảo mật không xác định khác thực hiện.

Tin tặc bị cáo buộc đã tạo một khoản vay nhanh để vay tiền bằng mã thông báo giả trong hợp đồng thông minh của chính tin tặc. Khi số tiền đang được chuyển, hacker đã thực hiện một khoản tiền gửi khác bằng cách sử dụng DAI thực trị giá 800,000 USD được vay từ dYdX. Khoản vay token giả đã nâng cao số dư của nhóm thanh khoản. Khi khoản vay thực sự được bắt đầu, Akropolis đã đúc cùng một mã thông báo hai lần, cho phép hacker rút gấp đôi số tiền dự định.

Sự cố DeFi giá trị:

Giao thức DeFi đã bị khai thác với giá khoảng 7.4 triệu đô la DAI do một cuộc tấn công cho vay nhanh, một kế hoạch thường thấy trong lĩnh vực DeFi. Sự cố xảy ra do một lỗi trong cách đo lường giá tài sản từ Curve, oracle dựa trên AMM.

Sau khi thao túng giá dựa trên khoản vay nhanh trên Curve, việc khai thác đã dẫn đến các mã thông báo 3crv không cân xứng ngay cả với cùng số lượng mã thông báo nhóm được đúc trước đó. Sau khi rút tiền, số token 3crv này đã được đổi thành DAI. Toàn bộ quá trình đã khiến DAI mất 7.4 triệu USD Giá trị DeFi, trong đó 2 triệu USD DAI được trả lại cho Value DeFi.

Hack tài chính dưa chua:

Vào tháng 2020 năm 19, Pickle Finance đã trở thành dự án DeFi mới nhất gặp phải một vụ hack nghiêm trọng. Bằng cách sử dụng các lỗi thiết kế trong hợp đồng Pickle, kẻ tấn công đã có thể đánh cắp hơn XNUMX triệu cDAI từ giao thức DeFi.

Hack DODO DEX:

Vào ngày 8 tháng 2021 năm 3.8, DODO DEX đã trải qua một vụ hack hợp đồng thông minh. Những kẻ tấn công đã có thể đánh cắp khoảng 3.1 triệu đô la tiền điện tử từ một số nhóm gây quỹ cộng đồng của DODO. Trong số này, khoảng XNUMX triệu USD tài sản bị đánh cắp đã được trả lại.

Cuộc tấn công nhằm vào hợp đồng thông minh DODO V2 Crowdpooling đã lợi dụng lỗ hổng trong chức năng init() của hợp đồng. Lỗ hổng này cho phép hàm được gọi nhiều lần với các tham số khác nhau. Với quy trình này, kẻ tấn công có thể bỏ qua các bước kiểm tra thanh khoản được sử dụng để xác minh các khoản vay nhanh. Kết quả là họ có thể rút hết thanh khoản khỏi nhóm của DODO.

Lỗ hổng init() bị khai thác trong cuộc tấn công này đã tồn tại trong nhiều năm và là nguyên nhân của một số vụ hack nổi tiếng.

Giải pháp cho rủi ro bảo mật DeFi

Kiểm tra bảo mật chất lượng cao trước khi khởi động bất kỳ dự án DeFi nào là rất cần thiết để phát hiện các lỗ hổng không đồng đều và không mong muốn của hợp đồng thông minh. Nó đảm bảo chức năng và bảo vệ không bị gián đoạn đối với tài sản được lưu trữ trong hợp đồng thông minh. Việc kiểm tra được thực hiện bởi một bên thứ ba không thiên vị, người xem xét toàn bộ dòng mã theo từng dòng và xác định các lỗ hổng tiềm ẩn.

Hợp đồng thông minh được kiểm toán kỹ lưỡng sẽ tạo thêm niềm tin cho các nhà đầu tư và những người khác trong không gian DeFi. Do đó, nếu hợp đồng được sử dụng cho Chào bán tiền xu lần đầu (ICO), Chào bán lần đầu ra công chúng (IPO) hoặc Chào bán mã thông báo bảo mật (STO), thì những sáng kiến ​​này có thể thành công hơn.

Thử nghiệm giai đoạn beta kỹ lưỡng và phạm vi thử nghiệm đơn vị đầy đủ cũng giúp xác định mọi vấn đề với chức năng của dự án. Đánh giá ngang hàng về mã cho phép có cái nhìn mới về mã. Nhiều dự án DeFi triển khai các chương trình thưởng lỗi để khuyến khích người dùng báo cáo mọi vấn đề được phát hiện trước khi ra mắt sản phẩm.

Bất kỳ hợp đồng thông minh DeFi nào cũng nên tránh sao chép mã từ các giao thức khác. Nói một cách đơn giản, nếu nó không phân nhánh toàn bộ dự án, thì nó sẽ cố gắng “khớp” các phần riêng biệt của mã, những phần này thường không tương thích với phần còn lại của mã. Nó có thể dẫn đến một số khai thác trong tương lai. 

Để ngăn chặn việc truy cập khóa riêng tư không cần thiết hoặc bảo vệ giao thức DeFi của bạn trong trường hợp mất khóa, mã DeFi nên sử dụng sơ đồ nhiều chữ ký. Vì vậy, trong trường hợp mất chìa khóa hoặc bị bên thứ ba truy cập ngoài ý muốn thì hợp đồng sẽ được an toàn. Hơn nữa, chìa khóa bị mất có thể được loại bỏ và/hoặc thay thế. 

Ngày càng có nhiều công ty bảo mật và bảo hiểm trên thị trường bảo vệ các nhà đầu tư trước những cuộc tấn công này.  

QuillAudits là nền tảng kiểm tra hợp đồng thông minh an toàn được thiết kế bởi QuillHash Technologies. Nó đã đưa ra một công cụ cụ thể để giám sát và khắc phục sự cố các hợp đồng thông minh, QuillMonitor. Nó giúp theo dõi hành vi của các cuộc gọi trái phép trong hợp đồng thông minh. Nó được sử dụng để xác định những bất thường trong chức năng của hợp đồng thông minh được triển khai. Toàn bộ quá trình tạo nên sự tin tưởng giữa Nhà đầu tư và Đơn vị tổ chức. Hơn nữa, công cụ này có thể được sử dụng để xác định những sai sót không mong muốn trong hợp đồng và giám sát việc thực hiện hợp đồng.

Hầu hết các công ty kiểm toán DeFi đều có danh sách chờ hàng tháng vì ngày càng có nhiều nền tảng DeFi được phát triển và yêu cầu kiểm tra kỹ lưỡng trước khi chúng ra mắt.

Một nền tảng thử nghiệm đám đông, DVP, được ra mắt để giải quyết các vấn đề bảo mật của DeFi. Đó là một cộng đồng quốc tế gồm các chuyên gia bảo mật thông tin (Mũ trắng) tìm cách đóng vai trò là cầu nối giữa mũ trắng và các dự án blockchain để cung cấp nền tảng thông tin bảo mật blockchain hiệu quả và minh bạch, giúp cải thiện nhận thức về bảo mật tổng thể và xây dựng một nền tảng tốt hơn sinh thái chuỗi khối.

Chương trình tiền thưởng do DVP đưa ra mời những người mũ trắng tiến hành thử nghiệm quy mô lớn các sản phẩm blockchain. Đánh giá của họ sẽ cung cấp cho các nhà sản xuất ý tưởng về hướng đi của dự án. Đổi lại, họ có thể nhận phần thưởng token trong khi nhà sản xuất tiết kiệm chi phí, tạo điều kiện cho đôi bên cùng có lợi. Các nhà cung cấp blockchain có uy tín như Gate.io, Cobo, F2pool, Vechain, Coinw, Kcash, Contentos và Neo là một số nền tảng để sử dụng các dịch vụ do cộng đồng DVP cung cấp. Trong tương lai, DVP sẽ mở rộng hỗ trợ toàn diện cho hệ sinh thái DeFi BSC (Binance Smart Chain). Được tham gia bởi các cộng đồng bảo mật hàng đầu thế giới như PeckShield và BCSES, DVP đã phát triển thành một cộng đồng kỹ thuật lớn với sự hỗ trợ từ hơn 15000 Mũ Trắng.

OpenZeppelin, một công ty bảo mật và phần mềm tiền điện tử vừa phát hành bộ phần mềm dành cho các dự án DeFi nhằm chống lại các cuộc tấn công cho vay nhanh và các hoạt động khai thác khác. Defender là bộ phần mềm cung cấp cho các nhóm thông báo khi một hoạt động khai thác đang diễn ra, cũng như các tập lệnh tự động để phản hồi hoạt động khai thác đó trong thời gian thực. Defender được phát triển với sự cộng tác của Labs Labs, Aave, dYdX, PoolTogether, Balancer, Foundation Labs và các nhóm hàng đầu khác. Nó được kỳ vọng sẽ giảm thiểu lỗi của con người, giúp việc quản lý hợp đồng thông minh trở nên đơn giản và an toàn.

Certora là một giao thức khác cung cấp xác minh chính thức cho mã hợp đồng thông minh. Nó viết các thông số kỹ thuật tùy thuộc vào bộ quy tắc an toàn do sản phẩm DeFi cung cấp và xác minh mã theo các thông số kỹ thuật này. Nó đã tiến hành xác minh các hợp đồng thông minh trong các nền tảng DeFi như giao thức cho vay dForce, mã thông báo Origin OUSD, Sushi Bentobox, giao thức Opyn Gemma, các khoản vay đa tài sản thế chấp tổng hợp, giao thức Aave v2 cùng nhiều giao thức khác.

MythX là sản phẩm bảo mật được cung cấp bởi Consensys. Nó cung cấp dịch vụ bảo mật hợp đồng thông minh cho Ethereum. MythX sử dụng SWCRegistry làm cơ sở dữ liệu khi quét các hợp đồng thông minh để tìm các vấn đề bảo mật. Cơ quan đăng ký SWC là một danh mục cộng đồng về các lỗ hổng hợp đồng thông minh đã biết kèm theo mô tả chi tiết, mẫu mã và cách khắc phục.

Tư vấn cho người dùng

Các sản phẩm DeFi yêu cầu sự thẩm định kỹ lưỡng trước khi thực hiện bất kỳ khoản đầu tư nào. Người dùng nên kiểm tra báo cáo chính thức của dự án, nhóm, hoạt động cộng đồng, danh sách sàn giao dịch, số lần kiểm tra bảo mật. Sự ủng hộ từ các nhà đầu tư tổ chức sẽ giúp người dùng có ý tưởng rõ ràng hơn nhiều về việc có nên đầu tư hay không.