Việc “hack” DAO đã ăn sâu vào ký ức chung của cộng đồng tiền điện tử. Sau khi huy động vốn cộng đồng cực kỳ thành công vào tháng 5 năm 2016, DAO tồn tại hơn một tháng trước khi kẻ tấn công bắt đầu rút tiền từ hợp đồng thông minh, lấy đi khoảng 70 triệu đô la Ether (ETH).
Tuy nhiên, như một số người đã chỉ ra vào thời điểm đó, vụ việc của DAO hoàn toàn không phải là một vụ hack. Kẻ tấn công chỉ đơn giản là khai thác một lỗ hổng trong mã hợp đồng thông minh cơ bản để khiến nó hoạt động theo cách mà các lập trình viên không ngờ tới. Tuy nhiên, sự cố đã chia rẽ cộng đồng Ethereum sau khi quyết định thực hiện một hard fork sẽ trả lại tiền.
Tua nhanh đến đầu năm 2020 và đã có hơn 1 tỷ đô la tiền điện tử được ràng buộc trong lĩnh vực tài chính phi tập trung. Đó là 1 tỷ đô la dưới sự quản lý của các hợp đồng thông minh. Vì vậy, xét về lịch sử, có lẽ không thể tránh khỏi việc ai đó cuối cùng sẽ tìm cách làm cho các ứng dụng này hoạt động theo cách mà không ai có thể lường trước được. Lần đầu tiên xảy ra vào tháng 2 năm 2020, với hai cuộc tấn công riêng biệt vào nền tảng giao dịch phi tập trung bZx. Gần đây hơn, một hacker đã kiếm được 25 triệu đô la từ nền tảng cho vay của Trung Quốc Lendf.me, được vận hành bởi dForce.
Ngay cả khi không có tin tặc tham gia, các ứng dụng DeFi đã cho thấy các lỗ hổng khác. Trong “Thứ Năm Đen” của tiền điện tử vào giữa tháng 3, MakerDAO đã thanh lý các khoản vay trị giá hơn 4 triệu đô la khi giá ETH giảm mạnh. Vụ tai nạn dẫn đến một cuộc bỏ phiếu quản trị nhanh chóng và một cuộc đấu giá nợ để khắc phục thiệt hại.
Phần lớn các bài bình luận tập trung vào việc liệu DeFi có thể phục hồi sau những thất bại này hay không. Dựa trên lịch sử của sự cố The DAO, có vẻ như DeFi sẽ thực hiện khôi phục. Có lẽ câu hỏi thích hợp hơn là, các nhà điều hành DeFi DApp có thể học được gì từ những sự cố như vậy để tránh chúng xảy ra trong tương lai?
Tiền thắng dễ dàng từ dForce
Sự cố gần đây nhất liên quan đến vụ hack Lendf.me mang lại một số chiến thắng dễ dàng. Nền tảng này là DApp cho vay lớn nhất của Trung Quốc. Tuy nhiên, hóa ra vụ hack được thực hiện do dForce đã sao chép mã từ phiên bản trước đó của Compound, một ứng dụng cho vay phi tập trung khác. Mã cũ của Compound không thể bảo vệ chống lại loại tấn công được gọi là “reentrancy” dành riêng cho mã thông báo ERC-777.
Do vấn đề này, Compound không hỗ trợ mã thông báo ERC-777. Tuy nhiên, có vẻ như khi dForce sao chép mã, nó không thực sự hiểu lỗ hổng này, vì nó đã không áp dụng các biện pháp tương tự, cho phép sử dụng mã thông báo ERC-777 trên Lendf.me. Do đó, kẻ tấn công đã khai thác lỗ hổng, sử dụng mã thông báo ERC-777 imBTC để rút 25 triệu đô la từ nền tảng.
Kể từ đó, hacker đã trả lại tiền, nhưng điều này khó có thể tự bảo vệ được. Theo báo cáo của Cointelegraph, dForce đã phải đối mặt với những lời chỉ trích vì không thực hiện đủ các biện pháp để ngăn chặn một cuộc tấn công như vậy. Vì vậy, nếu giả sử rằng dForce chỉ đơn giản là không biết về vấn đề này, làm thế nào họ có thể tránh được nó? Alex Melikhov, Giám đốc điều hành và đồng sáng lập của Equil Balance – công ty phát hành stablecoin EOSDT dựa trên EOS – là một người rất hâm mộ ý tưởng đánh giá ngang hàng. Anh ấy nói với Cointelegraph rằng “việc xem xét mã của bên thứ ba có thể ngăn chặn sự cố”, nói thêm:
“Một khía cạnh quan trọng ở đây là xây dựng khung thử nghiệm và kiểm tra mã. Nguyên tắc bốn mắt hoàn toàn có thể áp dụng cho việc phát triển mã và chắc chắn giảm thiểu rủi ro về lỗ hổng bảo mật. Mặc dù có quan hệ đối tác của dForce với PeckShield (người đã kiểm toán công khai giao thức USDx và Yield Enhanced), có vẻ như các kiểm toán viên đã không kiểm tra mã của giao thức cho vay LendfMe. ”
Dan Schatt, Giám đốc điều hành và đồng sáng lập của nền tảng cho vay tập trung Cred, đồng ý, thậm chí còn gợi ý rằng cộng đồng có thể đóng một vai trò nào đó ở đây. Ông nói với Cointelegraph, “Tiền thưởng lỗi có thể giúp khuyến khích cộng đồng tìm kiếm loại lỗ hổng có thể dẫn đến các cuộc tấn công và khai thác các loại lỗ hổng này.”
Vào thời điểm xuất bản, dForce đã đã xác nhận rằng 100% người dùng bị ảnh hưởng bởi cuộc tấn công đã được hoàn lại tiền thông qua nỗ lực phân phối lại nội dung của nó. Về phần mình, dForce đã phản hồi yêu cầu bình luận của Cointelegraph. Mindao Yang, người sáng lập dForce, đã tuyên bố rằng sau khi phản ánh:
“Một cuộc tấn công tương tự đã xảy ra đối với vụ hack nhóm Uniswap / imBTC trước sự cố [Lendf.me]. Lỗ hổng Uniswap, liên quan đến mã thông báo ERC777, đã được biết đến từ cuối năm 2018, nhưng sự kết hợp của mã thông báo ERC777 và mã Compound V1 giới thiệu một bề mặt tấn công gần đây chỉ được chúng tôi chú ý sau sự cố. Chúng tôi có thể cảnh giác hơn khi xảy ra vụ hack nhóm Uniswap / imBTC và có thể cẩn thận hơn khi giới thiệu các tài sản mới. ”
Yang tiếp tục bằng cách nói rằng nền tảng có kế hoạch tránh các cuộc tấn công tương tự và sẽ giới thiệu một số chuyên gia bên ngoài trong tương lai:
“Chúng tôi sẽ thu hút các chuyên gia tư vấn bảo mật bên thứ ba, tốt nhất để hỗ trợ kiểm tra toàn bộ và giúp chúng tôi củng cố các phương pháp bảo mật trong tương lai. Chúng tôi sẽ tìm thời điểm thích hợp để triển khai lại một giao thức thị trường tiền tệ phi tập trung mới và các giao thức khác. Trong tương lai, với sự giúp đỡ của họ, chúng tôi sẽ giới thiệu một quy trình tích hợp được kiểm toán chặt chẽ khi đưa các tài sản vào hệ sinh thái dForce. ”
Người phát ngôn xác nhận rằng chi tiết hơn nữa về các hành động được thực hiện trong vấn đề này sẽ được chia sẻ trong một bài đăng trên blog trong tương lai.
BZx – một vấn đề phức tạp hơn
Trước sự cố dForce gần đây, nền tảng giao dịch DeFi bZx đã bị tấn công hai lần trong khoảng thời gian một tuần. Các cuộc tấn công này ít liên quan đến mã lỗi hơn so với sự non nớt và tính thanh khoản tương đối thấp của không gian tiền điện tử nói chung. Các sàn giao dịch phái sinh – cho dù là tập trung hay phi tập trung – đều dựa vào giá cả. Chúng thường được lấy từ thị trường giao ngay, sử dụng giá trung bình từ nhiều sàn giao dịch.
Trong trường hợp của nền tảng DeFi, nguồn cấp giá đến từ các sàn giao dịch phi tập trung như Uniswap và Kyber. Vấn đề là do một số mã thông báo có tính thanh khoản thấp trên các nền tảng này, nên việc thao túng giá tương đối dễ dàng.
Liên quan: Các cuộc tấn công khoản vay Flash BZx có báo hiệu sự kết thúc của DeFi không?
BZx đã xử lý tốt sự cố, bù đắp 900.000 đô la cho thiệt hại của người dùng từ một quỹ bảo hiểm. Các nhà nghiên cứu Deribit Su Zhu và Hasu trước đây đã giải thích làm thế nào các vị thần giá cả dễ bị thao túng ngay cả trên các sàn giao dịch tập trung như BitMEX. Trong DeFi, nơi các sàn giao dịch phi tập trung dựa vào dữ liệu tiên tri về giá, người ta có thể nói rằng tai nạn này là do thẻ.
Tuy nhiên, nó đưa ra một câu hỏi hóc búa hấp dẫn – cách duy nhất để giải quyết thách thức là thu hút nhiều người dùng hơn để đưa tính thanh khoản vào DEX để giảm thiểu khả năng bị thao túng. Tuy nhiên, miễn là có nguy cơ bị cạn tiền, DeFi sẽ đấu tranh để thu hút người dùng.
Lỗ hổng quan trọng
Cuối cùng, chuyển sang sự kiện Thứ Năm Đen gần đây, sự kiện gây ra hàng loạt thanh lý trên MakerDAO: Mặc dù sự sụt giảm giá hoàn toàn nằm ngoài tầm kiểm soát của Maker, nhưng có bất kỳ bài học nào có thể rút ra từ nó?
Sự cố vào tháng 3 và các đợt thanh lý sau đó đã dẫn đến một cuộc bỏ phiếu để thay đổi các thông số đấu giá của Maker và giới thiệu USDC, một loại tài sản thế chấp không liên quan đến thị trường tiền điện tử. Những người chỉ trích DeFi chắc chắn sẽ chế giễu điều trớ trêu của một stablecoin được hỗ trợ bằng tiền điện tử cần được thế chấp bằng một khoản tương đương tập trung.
Tuy nhiên, có lẽ việc Maker giới thiệu USDC cho thấy một sự trưởng thành nhất định trong việc cộng đồng công nhận rằng thị trường DeFi còn non trẻ có nghĩa là nó cần phải làm theo ví dụ của các đối tác tập trung, tương đối ổn định cho đến khi có thể tự đứng vững trên hai chân của mình. Rốt cuộc, người sáng lập Maker Rune Christensen gần đây đã nói với Cointelegraph trong một cuộc phỏng vấn rằng anh ấy tin rằng DeFi cuối cùng sẽ hợp nhất với CeFi, minh họa rằng có lẽ việc sử dụng USDC của Maker là một dự đoán sớm về động thái này..
Đạt mốc 1 tỷ đô la trong năm nay, câu hỏi đặt ra là khi nào (thay vì nếu) DeFi sẽ phục hồi sau những thất bại này và đòi lại con số đó một lần nữa. Tuy nhiên, thực tế là những thất bại này đã diễn ra minh họa rằng những người sáng lập DeFi không nên tập trung vào việc lĩnh vực này đã đi được bao xa, mà thay vào đó là nó vẫn còn phải đi bao xa. Bằng cách học hỏi từ các sự cố gần đây, có cơ hội khôi phục nhanh hơn.