Tiêu đề gốc: "Để ngăn chặn các cuộc tấn công DeFi, chúng ta nên làm gì? "

Hợp đồng thông minh đã mang lại cho chúng ta nhiều tính năng như phân quyền, không cần tin tưởng, không cần tin tưởng, v.v., nhưng sau khi loại bỏ hoạt động của con người, một khi hợp đồng thông minh mở ra, thì tài sản có thể bị tin tặc lấy đi. Mức độ phổ biến và tỷ lệ chấp nhận của DeFi ngày càng tăng và các bên tham gia dự án có nhiều ý kiến ​​khác nhau.Làm thế nào để bảo vệ tài sản một cách tinh tường ngày càng trở nên quan trọng hơn.

Bộ phim này phân tích ngắn gọn các ví dụ về việc DeFi bị tấn công kể từ năm 2021 và đề xuất các phương pháp phòng ngừa. Đơn giản và dễ hiểu.

Hiện tại, phân khúc DeFi có hai đặc điểm: một là nó đang tăng vọt lên một tầm cao chưa từng thấy: nó được quản lý kém và hầu như không có ai có đủ nguồn lực hoặc kỹ năng kỹ thuật để vận hành hợp đồng thông minh và thu hút người dùng. Hai yếu tố này làm cho khu vực này rất hấp dẫn đối với những kẻ tấn công.

Làm thế nào chính xác để các cuộc tấn công xảy ra? Làm thế nào để bảo vệ chính mình? Chúng tôi sẽ kiểm tra cơ chế và cung cấp các ví dụ về các cuộc tấn công lớn nhất trong DeFi để hiểu giao thức nào cần đặc biệt thận trọng.

Tổng quan về DeFi ngắn nhất

DeFi cung cấp các dịch vụ tài chính dựa trên blockchain như cho vay và thu lãi. Điểm mấu chốt là DeFi bao gồm và không cần cấp phép - bất kỳ ai, bất kể quốc tịch, địa vị xã hội và lịch sử tín dụng, đều có thể tận dụng lợi thế của nó. DeFi không đáng tin cậy vì nó chạy trên các hợp đồng thông minh - tất cả các điều khoản và điều kiện đã được mô tả trước, được viết bằng mã và hiện có thể được thực thi mà không cần sự can thiệp của con người. Ở đây, điều duy nhất người dùng có thể tin tưởng là khả năng viết mã tốt của nhóm giao thức. Đổi lại, vì hầu hết các dự án đều là mã nguồn mở, kiểm toán viên và cộng đồng thường kiểm tra điều này.

Tuy nhiên, làm thế nào để điều này có chỗ cho sự thao túng?

Làm thế nào những kẻ tấn công có thể khai thác sự không an toàn trong DeFi?

Một vụ hack trên DeFi là khi ai đó khai thác lỗ hổng của giao thức để có quyền truy cập vào các khoản tiền bị khóa trong giao thức. Dưới đây là ba "chiến lược" chính để đạt được điều này:

Các dự án DeFi được thực hiện rất nhanh và không phải lúc nào các nhóm cũng có thời gian để kiểm tra kỹ lưỡng mã của họ. Tin tặc đã khai thác những lỗ hổng này.

Mọi giao thức trong DeFi đều có cơ chế riêng, cách người dùng khóa tiền của họ và cách họ nhận được phần thưởng. Đôi khi những người sáng lập giao thức không biết làm thế nào các cơ chế này có thể bị lạm dụng và biến thành những kẽ hở sinh lợi.

Một số nhóm cố tình tạo ra vấn đề - họ lạm dụng tầm ảnh hưởng to lớn của mình trong dự án bằng cách bán cổ phần và bán phá giá mã thông báo (cộng đồng không nhận thấy điều này).

Hai kế hoạch tấn công được sử dụng phổ biến nhất trong DeFi

Chúng ta hãy xem xét hai trong số các cơ chế được sử dụng rộng rãi nhất trong DeFi — tấn công kéo thảm và cho vay nhanh.

Pulling the rug - rút thanh khoản khi không ai mong đợi

Trong trường hợp “thảm kéo”, chủ sở hữu hoặc nhà phát triển đột ngột rút thanh khoản khỏi nhóm, gây ra sự hoảng loạn và buộc mọi người phải bán tài sản. Về cơ bản, đó là một lối thoát lừa đảo. Cổ phần của người sáng lập trong một dự án càng cao thì càng đáng ngờ: “kéo thảm” là một trong những rủi ro tập trung được thảo luận trong DeFi.

Đây là cách nó bắt đầu: những người sáng lập đã công bố một nền tảng mới với mã thông báo gốc cung cấp một số phần thưởng thú vị. Sau đó, nhóm tạo một nhóm thanh khoản trên một sàn giao dịch phi tập trung, chẳng hạn như Uniswap, nơi các mã thông báo được ghép nối với ETH, DAI hoặc các loại tiền tệ chính khác. Người dùng được khuyến khích mang lại nhiều thanh khoản hơn vì nó sẽ mang lại cho họ lợi suất cao. Khi giá mã thông báo tăng lên, những người sáng lập sẽ rút thanh khoản của họ và biến mất.

Việc các nhà phát triển có cổ phần lớn không phải là điều tuyệt vời, nhưng ngay cả khi họ làm như vậy, vẫn có một cách để bảo vệ các dự án: các nhà phát triển có thể thiết lập một quy trình không cho phép họ rời bỏ cho đến một ngày trong tương lai. Điều này làm tăng đáng kể niềm tin vào dự án.

Các cuộc tấn công cho vay chớp nhoáng - Rút cạn và loại bỏ tính thanh khoản

"khoản vay chớp nhoáng" là gì? Nó cho phép người dùng vay một số tiền không giới hạn trong một khoảng thời gian rất ngắn mà không cần thế chấp - người dùng phải hoàn trả khoản vay cộng với tiền lãi trước khi khối tiếp theo được khai thác và việc khai thác chỉ mất vài giây. Nếu người dùng không hoàn trả khoản vay, giao dịch sẽ không kết thúc và số tiền đã vay sẽ được lấy từ người dùng.

Một trong những cách sử dụng chính của các khoản vay chớp nhoáng là kinh doanh chênh lệch giá: thu lợi nhuận từ chênh lệch giá của tài sản trên các nền tảng khác nhau. Ví dụ: Ethereum có giá 2.000 đô la trên Sàn giao dịch A và 2.100 đô la trên Sàn giao dịch B. Người dùng có thể nhận khoản vay chớp nhoáng trị giá 2.000 đô la, mua ETH trên sàn giao dịch A, bán nó trên sàn giao dịch B và lợi nhuận của người dùng sẽ là 100 đô la trừ đi phí gas và phí cho vay.

Bản chất không giới hạn của các khoản vay nhanh mở đường cho việc khai thác. Sau đây là sơ đồ chung của một cuộc tấn công cho vay chớp nhoáng:

• Kẻ tấn công mượn 200 Token A trị giá 100.000 đô la (500 đô la cho một Token A).

• Sau đó, anh ta tích cực mua mã thông báo B trong nhóm thanh khoản A/B. Điều này đẩy giá của mã thông báo B tăng lên, trong khi mã thông báo A giảm xuống và hiện chỉ có giá trị 100 đô la.

• Khi Token B tăng vọt, kẻ tấn công bán lại cho Token A với giá 100 đô la. Bây giờ, nó có thể mua được 1000 Token A (sau khi giảm giá 5 lần) so với 200 Token ban đầu.

• Tuy nhiên, kẻ tấn công chỉ giảm giá token A trong hợp đồng thông minh này. Người cho vay khoản vay chớp nhoáng vẫn mua Token A với giá 500 đô la. Vì vậy, kẻ tấn công hoàn trả khoản vay bằng 200 Token A của mình và lấy 800 còn lại.

Như đã thấy, các khoản vay chớp nhoáng tận dụng bản chất của các sàn giao dịch phi tập trung mà không cần hack thực sự. Họ chỉ đơn giản là đổ mã thông báo A và loại bỏ một phần đáng kể thanh khoản của nhóm, về cơ bản là đánh cắp tiền của các nhà cung cấp thanh khoản.

Các cuộc tấn công DeFi lớn năm 2021

1. Hacker tài chính Meerkat Tuy nhiên, đây là một trò kéo thảm điển hình theo một cách hoài nghi khác thường. Meerkat Finance là một giao thức khai thác thanh khoản trong đó chủ sở hữu thậm chí không thể sử dụng các quỹ gộp. Ngay trước cuộc tấn công (một ngày sau khi dự án ra mắt!), họ đã nâng cấp giao thức, giành quyền truy cập, xóa tất cả các tài khoản truyền thông xã hội của Meerkat Finance và trang web của họ, đồng thời lấy đi số stablecoin trị giá 13 triệu đô la và 73.000 BNB trị giá 17 triệu đô la. 2. Tấn công khoản vay chớp nhoáng Alpha Homora

Cổ phần đang tăng lên! Trong cuộc tấn công Alpha Homora vào tháng 2 năm nay, 37 triệu USD đã bị đánh cắp. Ra mắt vào tháng 10 năm 2020, nền tảng cho vay gần đây đã được nâng cấp lên phiên bản V2. Trong nhóm Alpha Homora V2, kẻ tấn công đã vay và cho vay hàng triệu stablecoin, thổi phồng giá trị của chúng và khiến kẻ tấn công thu được lợi nhuận khổng lồ.

3. Khóa riêng EasyFi bị đánh cắp

Vào tháng 4, giao thức cho vay dựa trên Đa giác EasyFi đã phải chịu một trong những vụ hack DeFi tồi tệ nhất từ ​​​​trước đến nay. Trong một vụ hack, khóa riêng của quản trị viên mạng đã bị đánh cắp, cho phép kẻ tấn công có quyền truy cập vào quỹ của công ty. Ba triệu mã thông báo EASY trị giá 75 triệu đô la đã bị đánh cắp. Ngoài ra, số stablecoin trị giá 6 triệu đô la đã bị đánh cắp khỏi kho tiền của EasyFi.

4. Khai thác chênh lệch giá tài chính yên ngựa

Đây là một cuộc tấn công flash loan khác, đặc biệt là lần này. Saddle Finance, một giao thức giống như Curve để giao dịch tài sản được bọc và stablecoin, đã bị tấn công vào ngày 21 tháng 1 năm 2021, một ngày sau khi ra mắt. Thông qua một loạt các cuộc tấn công chênh lệch giá, kẻ tấn công đã thu được thành công gần 8 bitcoin thanh khoản chỉ trong 6 phút. Điều này có thể là do một lỗi trong hợp đồng thông minh của nhóm — kẻ tấn công đã bơm giá của stablecoin lên cao đến mức một mã thông báo trị giá 0,09 BTC đã được đổi lấy một mã thông báo khác trị giá 3,2 BTC.

Làm thế nào để tránh chọn một giao thức dễ bị tấn công?

“Các khoản vay chớp nhoáng” luôn xảy ra bất ngờ và không phải lúc nào người ta cũng có thể nhìn thấy trước khả năng “thảm kéo”. Tuy nhiên, làm theo các khuyến nghị này sẽ giúp người dùng chú ý hơn đến các dấu hiệu đáng ngờ và có thể giúp người dùng tránh bị thiệt hại về tiền bạc. chú ý:

• Nhóm và danh tiếng của nó. Những người sáng lập và phát triển là ai? Nhóm có công khai không? Nó đã từng tham gia vào bất kỳ dự án tiền điện tử đáng tin cậy nào chưa? Nếu không, nó không nhất thiết là một điều xấu, nhưng nó nên được quan tâm.

• Truy cập kho tiền. Đội này có tồn tại không? bao nhiêu? Nếu quyền sở hữu của người sáng lập quá cao, thì đó không phải là dấu hiệu đáng báo động.

• Truy cập đa chữ ký vào các quỹ của công ty. Điều này có thể giúp ngăn chặn tình trạng "kéo thảm" nếu nhà phát triển đã bật quyền truy cập đa chữ ký vào thư viện và ai đó bên ngoài nhóm sở hữu một số chữ ký.

• tuổi thọ và tính di động của nó. Nếu các nhà phát triển khóa tiền của họ trong một năm hoặc lâu hơn, người dùng có thể yên tâm rằng nhóm sẽ không thoát ra cho đến khi ít nhất khoảng thời gian đó kết thúc.

Những biện pháp nào được áp dụng để bảo vệ DeFi khỏi các cuộc tấn công?

• Khi DeFi trưởng thành, sẽ có một lượng thanh khoản đáng kể trong nhóm và một lượng lớn thanh khoản trong nhóm có thể là yếu tố chính giúp giảm nguy cơ bị tấn công cho vay chớp nhoáng.

• Giới hạn tối đa của khoản vay flash không cho phép các cuộc tấn công.

• Việc kiểm tra bảo mật của các hợp đồng thông minh sẽ nhường chỗ cho các hợp đồng dễ bị tổn thương và bị định cấu hình sai.

• Quy định tốt hơn sẽ giúp tránh cố ý phát hành các giao thức dễ bị tấn công.

• tóm tắt

tóm tắt

DeFi đã cách mạng hóa tài chính bằng cách sử dụng các công cụ không cần cấp phép và không cần tin cậy để mang lại thu nhập khổng lồ trong một khoảng thời gian ngắn. Tuy nhiên, nhiều lỗ hổng của nó thường bị khai thác bởi những kẻ tấn công và nhà phát triển độc hại. Mọi cuộc tấn công đều yêu cầu giao thức cải thiện tính bảo mật của nó và đây là cách mà các vụ hack DeFi giúp ngành phát triển.

Source：https://medium.com/the-capital/defi-attacks-and-ways-to-avoid-them-4b827ef456be