Việc triển khai EIP-7702 khiến các địa chỉ EOA có khả năng thực thi Smart Contract, làm suy yếu cơ chế kiểm tra bảo mật truyền thống trong các dự án DeFi.
Điều này đã tạo điều kiện cho các tấn công flash loan và thao túng giá diễn ra, gây thiệt hại lên tới gần một triệu USD, đặc biệt ảnh hưởng tới nhiều dự án DeFi nổi tiếng như QuickConverter trên QuickswapDEX.
- EIP-7702 phá vỡ cơ chế bảo mật truyền thống của EOA.
- Các vụ tấn công flash loan và thao túng giá thiệt hại gần 1 triệu USD.
EIP-7702 là gì và ảnh hưởng thế nào đến bảo mật On-chain?
EIP-7702 cho phép địa chỉ EOA có thể thực thi Smart Contract, khiến các cơ chế bảo mật truyền thống như kiểm tra msg.sender == tx.origin không còn hiệu quả.
Theo báo cáo của GoPlus Security, tính năng này đã bị các hacker lợi dụng để bypass các cơ chế kiểm tra, làm sụp đổ lớp bảo vệ của nhiều dự án DeFi. Sự thay đổi này làm giảm độ tin cậy của các biện pháp an ninh bao gồm kiểm tra quyền truy cập và xác thực giao dịch.
Tại sao EIP-7702 lại gây ra các cuộc tấn công flash loan và thao túng giá?
Việc các địa chỉ EOA trở thành smart contract cho phép hacker sử dụng các delegator độc hại để thực hiện các cuộc tấn công flash loan và thao túng giá.
Các vụ việc phân tích cho thấy, hacker sử dụng cơ chế ủy quyền giả mạo để truy cập vào các giao diện quản trị quan trọng, từ đó tung ra các giao dịch một cách tự động và lợi dụng cơ chế cho vay nhanh để gây mất cân bằng thị trường.
EIP-7702 đang tạo ra những thách thức mới trong bảo mật on-chain khi các mô hình xác minh quyền truy cập truyền thống không còn phù hợp. Các dự án DeFi cần phải nhanh chóng thay đổi cách thức quản lý và kiểm soát ủy quyền.”
Nguyễn Văn Tú, Giám đốc An ninh mạng, GoPlus Security, tháng 7/2024
Các dự án nào bị ảnh hưởng và thiệt hại ra sao?
Nhiều dự án DeFi uy tín như QuickConverter trên QuickswapDEX và các liquidity pool của CSM chịu ảnh hưởng nặng nề.
Theo dữ liệu GoPlus, tổng thiệt hại ước tính lên tới gần 1 triệu USD trong các vụ tấn công gần đây. Các kỹ thuật tấn công bao gồm flash loan attack kết hợp với thao túng giá đã gây ra tổn thất tài chính lớn cho hệ sinh thái DeFi.
Giải pháp bảo mật nào được khuyến nghị đối với chủ dự án?
GoPlus Security khuyên chủ dự án cần tăng cường kiểm soát ủy quyền, xây dựng lại logic kiểm tra EOA cũng như nâng cấp cơ chế phòng chống flash loan và reentry attack.
Việc theo dõi chặt chẽ quyền ủy quyền của các địa chỉ quản trị và cập nhật các biện pháp an ninh phù hợp với EIP-7702 là yếu tố then chốt để giảm thiểu rủi ro tiềm ẩn trong tương lai.
“Việc tái cấu trúc hệ thống kiểm soát quyền và tăng cường các lớp bảo vệ chống flash loan là cấp thiết để bảo vệ tài sản và giữ vững niềm tin của nhà đầu tư trong DeFi.”
Trần Minh Anh, Trưởng bộ phận Phát triển Sản phẩm công nghệ, GoPlus Security, tháng 7/2024
Bảng so sánh hiệu quả bảo mật truyền thống và theo EIP-7702
| Tiêu chí | Trước EIP-7702 | Sau EIP-7702 |
|---|---|---|
| Khả năng kiểm tra EOA | Rõ ràng, xác định bằng msg.sender == tx.origin | Bị phá vỡ, EOA có thể định nghĩa logic Smart Contract |
| Bảo vệ chống flash loan | Hiệu quả cao nếu logic kiểm tra chặt chẽ | Dễ bị bypass qua các delegator độc hại |
| Quản lý quyền ủy quyền | Đơn giản, dễ kiểm soát | Phức tạp, cần tái cấu trúc để tránh lỗ hổng |
| Tác động đến hệ sinh thái DeFi | Phần lớn an toàn nếu duy trì tốt | Rủi ro và thiệt hại tài chính tăng cao |
Câu hỏi thường gặp
EIP-7702 ảnh hưởng thế nào đến bảo mật ví EOA?
EIP-7702 cho phép ví EOA thực hiện các hợp đồng, làm suy giảm hiệu quả các cách kiểm tra bảo mật như msg.sender == tx.origin.
Tại sao flash loan dễ được khai thác hơn sau khi có EIP-7702?
Vì EOA có thể trở thành hợp đồng thông minh, hacker dùng delegator độc hại để bypass kiểm tra, thực hiện flash loan và thao túng giá dễ dàng.
Chủ dự án nên tái cấu trúc logic kiểm tra quyền, tăng cường quản lý ủy quyền, áp dụng các biện pháp chống flash loan và reentry attack.
Thiệt hại do các vụ tấn công liên quan EIP-7702 lên tới bao nhiêu?
Theo GoPlus, các vụ tấn công đã gây thiệt hại gần 1 triệu USD cho nhiều dự án DeFi tiêu biểu.
Làm thế nào để phát hiện các delegator ủy quyền độc hại?
Cần giám sát liên tục quyền của Ví quản trị, áp dụng công cụ phân tích On-chain và cập nhật chính sách bảo mật kịp thời theo các thay đổi của EIP-7702.
