Chúng tôi rất vui khi có thêm một “trang trại năng suất degen” điển hình xuất hiện và không liên quan trong tuần này.
Harvest Finance đã thu về tổng giá trị 1 tỷ đô la bị khóa trước khi một “vụ khai thác kinh tế” khiến nó sụp đổ. Thước đo giá trị bị khóa của nó hiện dao động khoảng 300 triệu đô la và triển vọng phục hồi có vẻ ảm đạm.
Việc khai thác đã một lần nữa khơi dậy các cuộc tranh luận giữa các thành viên cộng đồng DeFi về việc liệu các loại tấn công chênh lệch dựa trên khoản vay flash này có thực sự là hack hay không.
Tính năng Harvest có các hầm canh tác mang lại năng suất tương tự như Yearn’s. Họ phát hành cổ phiếu kho tiền được mã hóa dựa trên giá trị của tài sản được cung cấp bởi người dùng. Một số hầm này dựa vào nhóm Curve’s Y, hỗ trợ thanh khoản cho các giao dịch hoán đổi giữa USDT, USDC, DAI và TUSD.
Cuộc tấn công đã sử dụng các khoản vay nhanh để chuyển 17 triệu USDT thành USDC thông qua Curve, tạm thời tăng giá USDC lên 1,01 USD. Sau đó, kẻ tấn công đã sử dụng một kho tiền cho vay nhanh khác trị giá 50 triệu USDC – mà hệ thống coi là trị giá 50,5 triệu USD – để vào kho tiền Harvest USDC.
Sau khi xâm nhập, kẻ tấn công sẽ đảo ngược giao dịch USDC trước đó trở lại USDT để đưa giá về mức cân bằng và sau đó ngay lập tức mua lại cổ phiếu của họ trong các nhóm của Harvest để nhận 50,5 triệu đô la USDC – lợi nhuận ròng 500.000 đô la mỗi chu kỳ lặp lại đủ lần để thu được 24 đô la hàng triệu trong chiến lợi phẩm.
Vậy đây có phải là hack hay không?
Về mặt kỹ thuật, không có lỗ hổng nào liên quan ở đây. Đã có một kiểm tra bỏ qua đối với các loại “giao dịch chênh lệch giá” này để phát hiện xem giá của các stablecoin này có chênh lệch quá nhiều so với giá trị dự định của chúng hay không. Nhưng nó đã được đặt khá thấp và nó thực sự hơi bất tiện hơn một trình chặn thực tế – kẻ tấn công chỉ cần sử dụng nhiều chu kỳ khai thác hơn.
Trình tự này là chóng mặt và nó vẫn còn bỏ qua nhiều bước.
Vì vậy, theo nghĩa đó, những người ủng hộ lý thuyết rằng đây chỉ là một giao dịch chênh lệch giá là đúng – không có hành vi ngoài ý muốn nào trong mã, nó giống như việc thao túng thị trường được vũ khí hóa lặp đi lặp lại với tốc độ.
Tuy nhiên, nhóm Harvest Finance đã nhận trách nhiệm về việc này là một sai sót trong thiết kế, điều này rất đáng khen ngợi.
Thành thật mà nói, tôi thậm chí không chắc chắn điểm của các cuộc tranh luận ngữ nghĩa này là gì. Mọi người bị mất tiền một cách có thể phòng ngừa được. Một cuộc kiểm toán nên nắm bắt được điều này và đánh dấu nó là một vấn đề nghiêm trọng.
Nhưng chắc chắn có một trường hợp được đưa ra rằng đó là một danh mục khác với các lỗi như lỗi gần đây. Nó nhấn mạnh rằng các khối xây dựng tài chính này – thường được gọi là “Lego tiền tệ” – phải được thiết kế với sự cẩn thận tối đa trên bảng vẽ.
Nó giống như nếu ai đó tạo ra một khẩu súng từ các bộ phận Lego và mọi người đang tranh luận xem khẩu súng được “tạo ra” hay “được phát hiện” vì các bộ phận được lắp ráp kỹ thuật như thiết kế. Dù bằng cách nào thì các bộ phận Lego cũng nên được làm lại để chúng không thể trở thành vũ khí sát thương.
Quá tin tưởng vào các tiêu chuẩn tiền điện tử
Trước khi xảy ra vụ hack, Harvest đã gây chú ý vì mức độ tập trung cực độ của nó. Trong những ngày vinh quang của nó, tất cả 1 tỷ đô la có thể đã bị đánh cắp bởi một địa chỉ duy nhất, rất có thể do nhóm ẩn danh đứng sau dự án kiểm soát. Một vài cuộc kiểm tra đã làm nổi bật thực tế đó, cũng làm rõ rằng địa chỉ có thể chỉ định người đúc và tạo mã thông báo theo ý muốn.
Những người hâm mộ của dự án đã mạnh mẽ bảo vệ nó, nói rằng do khóa thời gian, những người nắm giữ chìa khóa quản trị chỉ có thể đánh cắp tiền 12 giờ sau khi báo hiệu ý định của họ hoặc họ chỉ có thể in một số lượng giới hạn mã thông báo.
Tôi sẽ để bạn là người phán xét những lập luận đó. Điểm rộng hơn là trong việc tìm kiếm lợi nhuận, các “degens” này đang bỏ qua các nguyên lý cơ bản về phân quyền và bạn biết đấy, DeFi là về cái gì.
Và tôi không nói điều đó là xấu vì tôi có một số nguyên tắc duy tâm. Đó là do thảm kéo. Đây là những trường hợp chính xác dẫn đến thảm họa như UniCats.
Câu chuyện điên rồ của bZX
Nói về hack, tôi rất vui khi được phỏng vấn nhóm bZX về một năm khủng khiếp của họ. Họ đã phải chịu tổng cộng ba vụ tấn công trong năm 2020, mặc dù một số trong số này chắc chắn cảm thấy giống như “khai thác kinh tế” đã đề cập trước đó.
Đội không là gì nếu không tận tâm. Một câu chuyện không có trong bài báo là cách Kyle Kistner nhảy hàng rào vào giữa đêm và đột nhập vào cộng đồng được kiểm soát nơi người đồng sáng lập Tom Bean của anh ấy sinh sống. Rõ ràng có một lỗi cần được sửa càng sớm càng tốt.
Đánh giá từ câu chuyện, trở thành một nhà phát triển DeFi không dành cho những người yếu tim, cũng không phải dành cho những người thích ngủ nướng.
Tất nhiên, người ta không thể không nhận thấy rằng bZX đã bị khai thác quá thường xuyên. Với tư cách là một cựu thợ săn tiền thưởng lỗi, tôi chắc chắn có thể thấy cách thức bảo mật của họ kém hiệu quả vào đầu năm – ví dụ như chương trình tiền thưởng lỗi khá tệ – nhưng tôi cũng thấy cách họ sửa chữa nhiều sai lầm của mình. Có thể có những vấn đề cơ bản khác, nhưng tôi nghĩ rằng cuối cùng chúng có thể quay trở lại nếu không có thêm sự cố nào xảy ra.
Mối đe dọa DeFi đối với việc đặt cược
Một báo cáo của ConsenSys nhấn mạnh một vấn đề đã bị bỏ qua cho đến nay, về cơ bản là chi phí cơ hội của việc đặt cược trong môi trường DeFi.
Ý tưởng khá đơn giản: tiền theo đuổi lợi suất cao nhất và DeFi dường như đang cung cấp rất nhiều trong số đó những ngày này. Ngay cả một cái gì đó tương đối thuần hóa như 20% APY có thể đánh bại 8% tiềm năng hoặc lâu hơn từ việc đặt cược và xác thực Ethereum 2.0.
Vấn đề đó còn phức tạp hơn khi bạn cho rằng Giai đoạn 0 của Ethereum sẽ không cho phép bạn rút hoặc chuyển các mã thông báo bạn đã cam kết cho đến khi Giai đoạn 1 hoặc 2 đến. Về cơ bản, bạn đang đặt cược rằng nhóm sẽ giao việc triển khai đầy đủ trong một khung thời gian hợp lý và bạn sẽ không thực sự nhận được phần thưởng nhiều như vậy vì rủi ro.
Trong trường hợp đó, DeFi càng phổ biến thì mạng càng kém an toàn và đó là một vấn đề lớn.
Rất may, nó phần lớn có thể giải quyết được thông qua các dẫn xuất đặt cược – các mã thông báo lỏng được hỗ trợ bởi tài sản thế chấp được sử dụng để đặt cược, một loại Ether IOU. Có những rủi ro liên quan – cụ thể là tài sản thế chấp cơ bản có thể bị cắt giảm và các IOU sẽ đột nhiên có giá trị thấp hơn. Điều tốt cho mạng là chỉ DeFi bị ảnh hưởng trong trường hợp này, thiết lập lại hệ thống phân cấp tự nhiên về tầm quan trọng.
Nhưng điều đó cho thấy có thể có bao nhiêu tương tác ngoài ý muốn trong tương lai. DeFi có thể đã trở nên cực kỳ phức tạp và nếu mọi người không hiểu đầy đủ về nó, hậu quả có thể rất khủng khiếp.