Lĩnh vực tài chính phi tập trung đang phát triển với tốc độ chóng mặt. Ba năm trước, tổng giá trị bị khóa trong DeFi chỉ là 800 triệu USD. Đến tháng 2 năm 2021, con số này đã tăng lên 40 tỷ đô la; vào tháng 4 năm 2021, nó đạt được cột mốc 80 tỷ đô la; và bây giờ nó đạt trên 140 tỷ đô la. Sự phát triển nhanh chóng như vậy trong một thị trường mới không thể không thu hút sự chú ý của tất cả các loại tin tặc và kẻ lừa đảo.
Theo một báo cáo của công ty nghiên cứu tiền điện tử, kể từ năm 2019, lĩnh vực DeFi đã mất khoảng 284,9 triệu đô la cho các vụ hack và các cuộc tấn công khai thác khác. Các cuộc tấn công của hệ sinh thái blockchain là một phương tiện làm giàu lý tưởng theo quan điểm của các hacker. Bởi vì các hệ thống như vậy là ẩn danh, họ có tiền để mất và bất kỳ vụ hack nào cũng có thể được kiểm tra và điều chỉnh mà nạn nhân không hề hay biết. Trong bốn tháng đầu năm 2021, khoản lỗ lên tới 240 triệu USD. Và đây chỉ là những trường hợp được công khai. Chúng tôi ước tính thiệt hại thực sự lên đến hàng tỷ đô la.
Có liên quan: Tổng hợp các vụ hack, khai thác và trộm tiền điện tử vào năm 2020
Làm thế nào để tiền bị đánh cắp từ các giao thức DeFi? Chúng tôi đã phân tích hàng chục cuộc tấn công của tin tặc và xác định các vấn đề phổ biến nhất dẫn đến các cuộc tấn công của tin tặc.
Lạm dụng các giao thức của bên thứ ba và lỗi logic nghiệp vụ
Bất kỳ cuộc tấn công nào cũng bắt đầu chủ yếu bằng việc phân tích nạn nhân. Công nghệ chuỗi khối cung cấp nhiều cơ hội cho việc điều chỉnh tự động và mô phỏng các tình huống hack. Để một cuộc tấn công diễn ra nhanh chóng và vô hình, kẻ tấn công phải có các kỹ năng lập trình cần thiết và kiến thức về cách thức hoạt động của các hợp đồng thông minh. Bộ công cụ điển hình của một hacker cho phép họ tải xuống bản sao đầy đủ của blockchain từ phiên bản chính của mạng và sau đó điều chỉnh hoàn toàn quy trình của một cuộc tấn công như thể giao dịch đang diễn ra trong một mạng thực.
Tiếp theo, kẻ tấn công cần nghiên cứu mô hình kinh doanh của dự án và các dịch vụ bên ngoài được sử dụng. Lỗi trong các mô hình toán học logic nghiệp vụ và các dịch vụ của bên thứ ba là hai trong số các vấn đề thường bị tin tặc khai thác nhất.
Các nhà phát triển hợp đồng thông minh thường yêu cầu nhiều dữ liệu có liên quan tại thời điểm giao dịch hơn là họ có thể sở hữu tại bất kỳ thời điểm nào. Do đó, họ buộc phải sử dụng các dịch vụ bên ngoài – ví dụ, oracles. Những dịch vụ này không được thiết kế để hoạt động trong một môi trường không đáng tin cậy, vì vậy việc sử dụng chúng tiềm ẩn những rủi ro bổ sung. Theo thống kê trong một năm dương lịch (kể từ mùa hè năm 2020), loại rủi ro nhất định chiếm tỷ lệ tổn thất nhỏ nhất – chỉ 10 lần hack, dẫn đến thiệt hại tổng cộng khoảng 50 triệu đô la.
Có liên quan: Nhu cầu cấp tiến về việc cập nhật các giao thức bảo mật blockchain
Lỗi mã hóa
Hợp đồng thông minh là một khái niệm tương đối mới trong thế giới CNTT. Bất chấp sự đơn giản của chúng, các ngôn ngữ lập trình cho hợp đồng thông minh yêu cầu một mô hình phát triển hoàn toàn khác. Các nhà phát triển đôi khi chỉ đơn giản là không có các kỹ năng viết mã cần thiết và mắc những sai lầm nghiêm trọng dẫn đến thiệt hại to lớn cho người dùng.
Kiểm toán bảo mật chỉ loại bỏ một phần rủi ro này, vì hầu hết các công ty kiểm toán trên thị trường không chịu bất kỳ trách nhiệm nào về chất lượng công việc mà họ thực hiện và chỉ quan tâm đến khía cạnh tài chính. Hơn 100 dự án đã bị tấn công do lỗi mã hóa, dẫn đến tổng khối lượng thiệt hại khoảng 500 triệu đô la. Một ví dụ rõ ràng là vụ hack dForce diễn ra vào ngày 19 tháng 4 năm 2020. Các tin tặc đã sử dụng một lỗ hổng trong tiêu chuẩn mã thông báo ERC-777 kết hợp với một cuộc tấn công gần đây và lấy đi 25 triệu đô la.
Có liên quan: Kiểm toán mặc định cho các dự án DeFi là điều bắt buộc để phát triển ngành
Các khoản cho vay chớp nhoáng, thao túng giá và các cuộc tấn công của thợ đào
Thông tin được cung cấp cho hợp đồng thông minh chỉ có liên quan tại thời điểm thực hiện giao dịch. Theo mặc định, hợp đồng không miễn nhiễm với sự thao túng tiềm ẩn từ bên ngoài đối với thông tin có bên trong. Điều này làm cho toàn bộ các cuộc tấn công có thể xảy ra.
Các khoản vay nhanh là các khoản cho vay không có tài sản thế chấp, nhưng có nghĩa vụ trả lại tiền điện tử đã vay trong cùng một giao dịch. Nếu người vay không trả lại tiền, giao dịch sẽ bị hủy (hoàn nguyên). Các khoản vay như vậy cho phép người đi vay nhận được một lượng lớn tiền điện tử và sử dụng chúng cho các mục đích riêng của họ. Thông thường, các cuộc tấn công cho vay chớp nhoáng liên quan đến việc thao túng giá. Trước tiên, kẻ tấn công có thể bán một số lượng lớn mã thông báo đã vay trong một giao dịch, do đó giảm giá của chúng, sau đó thực hiện phạm vi hành động với giá trị rất thấp của mã thông báo trước khi mua lại.
Một cuộc tấn công của thợ đào là một cuộc tấn công tương tự của một cuộc tấn công cho vay nhanh trên các blockchain hoạt động trên cơ sở thuật toán đồng thuận bằng chứng công việc. Kiểu tấn công này phức tạp và tốn kém hơn, nhưng nó có thể vượt qua một số lớp bảo vệ của các khoản vay flash. Đây là cách nó hoạt động: Kẻ tấn công thuê khả năng khai thác và tạo thành một khối chỉ chứa các giao dịch mà chúng cần. Trong khối đã cho, trước tiên họ có thể mượn mã thông báo, thao túng giá và sau đó trả lại mã thông báo đã mượn. Vì kẻ tấn công hình thành các giao dịch được nhập vào khối một cách độc lập, cũng như trình tự của chúng, nên cuộc tấn công thực sự là nguyên tử (không có giao dịch nào khác có thể được “nhúng” vào cuộc tấn công), như trong trường hợp cho vay nhanh. Kiểu tấn công này đã được sử dụng để hack hơn 100 dự án, với tổng thiệt hại lên đến khoảng 1 tỷ đô la.
Số lượng hack trung bình đang tăng lên theo thời gian. Vào đầu năm 2020, một vụ trộm đã lên tới hàng trăm nghìn đô la. Đến cuối năm, số tiền đã lên đến hàng chục triệu đô la.
Có liên quan: Khai thác hợp đồng thông minh có đạo đức hơn hack … hay không?
Nhà phát triển không đủ năng lực
Loại rủi ro nguy hiểm nhất liên quan đến yếu tố lỗi của con người. Mọi người sử dụng DeFi để tìm kiếm tiền nhanh chóng. Nhiều chủ đầu tư có trình độ kém nhưng vẫn cố gắng tung ra các dự án một cách vội vàng. Hợp đồng thông minh là mã nguồn mở và do đó dễ dàng bị tin tặc sao chép và thay đổi theo những cách nhỏ. Nếu dự án ban đầu chứa ba loại lỗ hổng đầu tiên, thì chúng sẽ tràn sang hàng trăm dự án nhân bản. RFI SafeMoon là một ví dụ điển hình, vì nó chứa một lỗ hổng nghiêm trọng đã được chồng lên hàng trăm dự án, dẫn đến thiệt hại có thể lên tới hơn 2 tỷ đô la.
Bài viết này được đồng tác giả bởi Vladislav Komissarov và Dmitry Mishunin.
Vladislav Komissarov là giám đốc công nghệ của BondAppetit, một giao thức DeFi cho vay với một stablecoin được hỗ trợ bởi tài sản trong thế giới thực với thu nhập định kỳ cố định. Ông có hơn 17 năm kinh nghiệm trong lĩnh vực phát triển web.
Dmitry Mishunin là người sáng lập và giám đốc công nghệ của HashEx. Hơn 30 dự án toàn cầu đang chạy trên tích hợp blockchain được thiết kế bởi HashEx. Hơn 200 hợp đồng thông minh đã được kiểm toán trong năm 2017–2021.
.