Như đã đề cập ở phần trước(Flash Loan good point. Đương nhiên rồi, cái nào cũng có 2 mặt.
Thật không may, trong khi ý tưởng tuyệt vời và hoạt động tốt, có những người khai thác hình thức cho vay này. Hãy tiếp tục đọc để tìm hiểu thêm về các cuộc tấn công cho vay nhanh – và cách ngăn chặn chúng.
Một cuộc tấn công cho vay nhanh là sự lạm dụng bảo mật hợp đồng thông minh của một nền tảng cụ thể, trong đó kẻ tấn công thường vay rất nhiều tiền mà không yêu cầu tài sản thế chấp. Sau đó, họ thao túng giá của tài sản tiền điện tử trên một sàn giao dịch và nhanh chóng bán lại nó trên một sàn giao dịch khác.
Quá trình này diễn ra nhanh chóng và kẻ tấn công lặp lại quá trình nhiều lần trước khi kết thúc và bỏ đi mà không để lại dấu vết.
Sự phát triển của không gian cho vay DeFi đã làm cho hoạt động cho vay tiền điện tử trở nên rất phổ biến. Bởi vì chúng tận dụng toàn bộ sức mạnh của các công nghệ hiện có, các khoản vay nhanh đã trở thành một hình thức cho vay rất hấp dẫn.
Thuật ngữ cho vay nhanh mô tả khi một người đi vay có một khoản vay mà không cần thế chấp. Bạn có thể tự hỏi: Làm sao điều này có thể xảy ra? Sử dụng hợp đồng thông minh của nền tảng , toàn bộ quá trình cho vay và trả lại diễn ra trong một giao dịch duy nhất trên blockchain.
Điều đó có nghĩa là người vay phải hành động nhanh chóng và hoàn trả khoản vay trong thời gian ngắn. Nếu người cho vay vỡ nợ theo bất kỳ cách nào, toàn bộ giao dịch sẽ bị hủy bỏ như thể không có gì xảy ra cả.
Nguyên tắc là đơn giản và rất thực tế. Không giống như các khoản vay có bảo đảm truyền thống, bạn không cần bất kỳ tài sản thế chấp, điểm tín dụng hoặc quản lý nào để xử lý một khoản vay tín chấp. Bạn có thể nhận được một lượng lớn stablecoin chỉ trong vài giây – và sử dụng nó cho lợi ích của bạn một cách nhanh chóng.
Đó là những gì một số nhà giao dịch trên các nền tảng DeFi khác nhau đang làm. Ví dụ: người dùng Aave có thể nhận các khoản vay như vậy, sử dụng tiền theo cơ hội kinh doanh chênh lệch giá, trả lại khoản vay và giữ lợi nhuận.
Quá trình vay và cho vay được tự động hóa và khi mọi thứ diễn ra thuận lợi, cả người cho vay và người đi vay đều được hưởng lợi từ khoản vay. Nếu có gì sai, giao dịch sẽ bị hủy và không có lợi nhuận cho một trong hai bên.
Với cách thức công nghệ vẫn đang phát triển, các cuộc tấn công cho vay nhanh DeFi hiện đang phổ biến. Hiện tại, hơn 70 vụ khai thác DeFi đã được sử dụng để đánh cắp số tiền khổng lồ, lên tới khoảng 1,5 tỷ USD . Xu hướng này có thể sẽ tiếp tục trong những năm tới, bởi vì việc đảm bảo tính bảo mật của nền tảng không thể xuyên thủng là một nhiệm vụ đầy thách thức.
Thách thức đầu tiên nằm ở việc nhà phát triển không có khả năng bao quát tất cả các điểm yếu có thể xảy ra, vì công nghệ blockchain còn khá mới. Một vấn đề khác là các hệ thống được phát triển nhanh chóng, và rất nhiều tiền là trong mỗi dự án này. Tiền đặt cược rất cao và nhiều nhà phát triển thử các phương pháp khác nhau để tìm ra lỗi trong hệ thống. Một số kẻ tấn công cho vay nhanh tận dụng các tính toán không chính xác của các nhóm thanh khoản. Vẫn còn những người khác là các cuộc tấn công của thợ mỏ hoặc lỗi mã hóa.
Thật không may, điều khiến mọi thứ trở nên khả thi cũng chính là điểm yếu.
Thách thức với các hợp đồng thông minh là chúng có toàn quyền kiểm soát các giao thức DeFi. Một khi những kẻ tấn công hiểu cách chúng hoạt động chi tiết từng phút, chúng có thể thao túng những thiếu sót của hợp đồng và sử dụng chúng để có lợi cho chúng.
Điều đó có nghĩa là bảo mật của DeFi là một sự cân bằng mong manh: một bên là kỹ năng của người tạo hợp đồng của giao thức, và bên kia là kỹ năng của hacker.
Một lỗ hổng khác liên quan đến dữ liệu giá cả của nền tảng. Vì có rất nhiều sàn giao dịch trên toàn thế giới, nên việc tìm kiếm một mức giá thực sự cho tài sản kỹ thuật số tiền điện tử thực tế là không thể. Sự khác biệt về giá này là điều làm cho giao dịch chênh lệch giá hấp dẫn. Theo dõi thị trường là một cách tuyệt vời để kiếm lợi nhuận, do sự biến động giá hợp pháp. Tuy nhiên, các cuộc tấn công cho vay chớp nhoáng thao túng giá và khai thác sự thay đổi đột ngột của chúng.
Khi kẻ tấn công nhận được khoản vay nhanh, chúng tạo ra một đợt bán tháo nhân tạo, khiến giá tài sản tiền điện tử giảm mạnh.
May mắn thay, đã có các hệ thống để ngăn chặn việc lạm dụng các khoản cho vay phi tập trung như vậy. Chúng tôi sẽ đề cập đến vấn đề đó ngay sau khi chúng tôi khám phá một vài ví dụ về các cuộc tấn công cho vay nhanh.
Cho đến nay, đã có hàng chục lần xảy ra các cuộc tấn công cho vay chớp nhoáng. Đây chỉ là một số trong những cái lớn nhất.
CREAM Finance đã bị tấn công nhiều lần vào năm 2021. Một trong những vụ cướp lớn nhất liên quan đến 130 triệu đô la . Thủ phạm đã đánh cắp mã thông báo thanh khoản CREAM, lên tới hàng triệu đô la trong một khoảng thời gian không được tiết lộ. Tất cả các khoản lỗ đều có thể nhìn thấy trong chuỗi và vẫn chưa bắt được thủ phạm.
May mắn thay, lỗ hổng chỉ là một phần của hệ thống DeFi của Cream, vì nền tảng của đối tác hợp nhất của họ, Yearn Finance, vẫn an toàn. Như với phần lớn các vụ hack giao thức DeFi, những kẻ tấn công đã sử dụng nhiều khoản vay flash và thao túng giá của oracle .
Với sự giúp đỡ của nhóm của Yearn, nền tảng này đã nhanh chóng vá lỗ hổng.
Vào tháng 2 năm 2021, một vụ tấn công vào giao thức Alpha Homora đã dẫn đến thiệt hại 37 triệu đô la . Kẻ tấn công cho vay nhanh cũng đã sử dụng Ngân hàng Sắt của CREAM Finance thông qua một loạt các khoản vay nhanh. Ngân hàng Sắt là nhánh cho vay của giao thức Alpha Homora.
Các tin tặc đã lặp lại quá trình này nhiều lần cho đến khi họ tích lũy được CreamY USD (hoặc cyUSD), sau đó sử dụng các mã thông báo để vay các loại tiền điện tử khác. Vụ hack khá phức tạp và bao gồm nhiều bước. Về cơ bản, kẻ tấn công đã thao túng rất nhiều sUSD pool của HomoraBank v2.
Họ đã thực hiện một loạt các giao dịch và cho vay nhanh, cho phép họ lạm dụng giao thức cho vay giữa HomoraBank v2 và Ngân hàng Sắt. Bạn có thể khám phá khám nghiệm cuộc tấn công Alpha Homora chi tiết hơn để xem những gì tin tặc đã làm.
Ngoài ra, họ khai thác tính toán sai làm tròn của các phép tính đi vay trong các tình huống khi chỉ có một người đi vay.
Vào tháng 5 năm 2021, một hacker đã đưa nền tảng PancakeBunny vào thử nghiệm bằng cách đánh cắp gần 3 triệu đô la . Tin tặc lần đầu tiên sử dụng PancakeSwap để có được một khoản vay BNB lớn. Trong cuộc tấn công, tin tặc đã thao túng các cặp giao dịch BUNNY / BNB và USDT / BNB.
Sau đó, một khoản vay chớp nhoáng lớn đã cung cấp cho hacker một lượng lớn mã thông báo BUNNY, mà anh ta ngay lập tức bán phá giá, trả lại BNB và biến mất cùng với lợi nhuận. Toàn bộ thử thách đã khiến giá của PancakeBunny giảm sốc từ 146 đô la xuống còn 6,17 đô la.
Khi nhiều cuộc tấn công liên tục xảy ra, các chuyên gia bảo mật đang tìm hiểu thêm về các cách khai thác cho vay nhanh. Tất cả các lỗ hổng trong các ví dụ được đề cập ở trên đã được vá và sự xuất hiện của chúng đã tạo ra hai giải pháp phổ biến.
Vì hầu hết các cuộc tấn công cho vay nhanh đều phụ thuộc vào việc thao túng giá, nên cần phải chống lại cách tiếp cận này bằng các phép định giá phi tập trung. Ví dụ điển hình là Chainlink và Band Protocol . Các nền tảng này giữ cho tất cả các giao thức an toàn bằng cách trình bày giá chính xác của các loại tiền điện tử khác nhau.
Ví dụ: các cuộc tấn công DeFi như cuộc tấn công xảy ra với dYdX sẽ không thể xảy ra vì các giao thức sẽ không nhận được nguồn cấp dữ liệu giá của chúng từ một DEX duy nhất .
Alpha Homora hiện sử dụng Alpha Oracle Aggregator để ngăn lịch sử tự lặp lại. Chúng ta sẽ thấy nhiều hệ thống như thế này hơn khi quy mô thị trường DeFi không ngừng tăng lên .
Hệ sinh thái DeFi sử dụng các công nghệ tiên tiến đang định hình lại triển vọng của các hệ thống tài chính quốc tế. Sự chú ý kiểu này tạo ra gánh nặng lớn cho toàn bộ hệ thống.
Tin tốt là đã có những nền tảng cụ thể giải quyết các thách thức bảo mật hiện tại. OpenZeppelin là một ví dụ hoàn hảo. Vai trò của nó trong toàn bộ hệ sinh thái là bảo vệ các hợp đồng thông minh và nền tảng DeFi nói chung.
Ngoài khả năng kiểm tra hợp đồng thông minh, các giải pháp như Defender Sentinels cung cấp khả năng bảo vệ liên tục khỏi các cuộc tấn công cho vay nhanh. Các nhà phát triển có thể sử dụng công cụ này để tự động hóa các chiến lược phòng thủ của họ, nhanh chóng tạm dừng toàn bộ hệ thống và triển khai các bản sửa lỗi.
Loại phản ứng nhanh đó là điều cần thiết để giảm thiểu thiệt hại có thể xảy ra mà một cuộc tấn công cho vay nhanh có thể phải chịu.
Những người chơi lớn như Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether và nhiều công ty khác đã và đang sử dụng nền tảng này để vô hiệu hóa các cuộc tấn công vào hệ thống của họ.
Khi mọi thứ hoạt động như dự định, các khoản vay nhanh hoàn toàn không có rủi ro. Người đi vay và người cho vay có thể được hưởng lợi từ giao dịch nếu họ đáp ứng tất cả các điều kiện của hợp đồng thông minh.
Từ quan điểm của người cho vay, họ không bao giờ cho đi bất kỳ khoản tiền nào. Tất cả đều là nhân tạo và trở thành một phần của thông tin blockchain nếu người vay thực hiện tất cả các bước cần thiết. Nếu người vay không trả được nợ, giao dịch tương tự sẽ bị từ chối.
Người cho vay vẫn có tiền của họ, và người đi vay không nợ bất kỳ ai.
Mặt khác, người đi vay chỉ có thể tạo ra lợi nhuận. Họ có thể sử dụng số tiền đã vay để kiếm lợi nhuận từ giao dịch chênh lệch giá trên thị trường tiền điện tử. Nếu giao dịch không thành công, tiền chỉ đơn giản là quay trở lại người cho vay.
Lý tưởng nhất là thiết kế của hệ thống đảm bảo cho vay và cho vay không có rủi ro, tức thì. Tuy nhiên, để đảm bảo rằng mọi thứ đều không có rủi ro, các hợp đồng thông minh cần phải bao gồm tất cả các chi tiết giao dịch. Bằng cách đó, không có điểm nhạy cảm nào để kẻ tấn công khai thác.
Do đó, khi nói đến các khoản vay nhanh, rủi ro lớn nhất hiện nay đang ảnh hưởng đến hệ sinh thái DeFi là rò rỉ dữ liệu, cộng với các lỗi hợp đồng thông minh cho phép các cuộc tấn công này.
Mặc dù bây giờ mọi thứ trông không hoàn hảo, nhưng theo thời gian, những hệ thống này cuối cùng sẽ trở nên an toàn. Với các nền tảng như Chainlink và OpenZeppelin, các cuộc tấn công cho vay nhanh có thể sẽ trở thành một phần của lịch sử.
Các khoản vay nhanh là một bổ sung tuyệt vời khác cho hệ sinh thái DeFi. Mặc dù hiện tại chúng đang có xu hướng bị tấn công, nhưng tình thế sẽ thay đổi trong tương lai.
Khi các nhà phát triển viết các hợp đồng thông minh tốt hơn và nhiều hệ thống hơn triển khai các công cụ bảo mật và các phép tắc phi tập trung để định giá, chúng ta sẽ thấy số lượng các cuộc tấn công đến từ tin tặc ngày càng giảm.
Nếu bạn đang suy nghĩ về việc liệu các khoản vay nhanh có phải là một khoản đầu tư tốt hay không, chúng tôi tin rằng câu trả lời là có. Hãy nhớ rằng, luôn có ít nhất nguy cơ bị tấn công cho vay nhanh, vì vậy hãy cẩn thận sử dụng tiền điện tử của bạn khi cho vay trên nền tảng DeFi.
Bạn muốn tìm hiểu thêm về DeFi cho vay? Bạn có thể tìm thấy tất cả các chi tiết cụ thể trong một hướng dẫn chi tiết trên blog của chúng tôi.
Nguồn : https://learn.bybit.com/defi/what-is-a-flash-loan-attack/
You need to login in order to like this post: click here
YOU MIGHT ALSO LIKE
