Finance Redefined là bản tin tập trung vào DeFi của Cointelegraph, được gửi đến người đăng ký vào thứ Tư hàng tuần.

Vụ hack Alpha Homora và Cream Finance đã tạo được dấu ấn lớn trong không gian DeFi tuần này.

Đây là vụ hack đơn lẻ lớn nhất trong lịch sử DeFi với 37 triệu đô la tiền bị đánh cắp. Nó cũng là một trong những phức tạp nhất, dường như tận dụng một số lỗ hổng trung thực với Chúa trong Alpha Homora. Một vài lần kiểm tra đầu vào bị thiếu trong các điều kiện rất đặc biệt đã cho phép hacker lạm dụng đặc quyền của Alpha Homora là được vay số tiền không giới hạn từ Ngân hàng Sắt của Cream Finance. Tất nhiên, các khoản vay nhanh đã có liên quan, nhưng không giống như một số vụ hack trước đây như Harvest Finance, đây dường như không phải là một vụ khai thác kinh tế thuần túy.

Tin tức về vụ hack có tác động tiêu cực đến giá của tất cả các giao thức liên quan đến vụ hack, bao gồm cả Aave vì một số lý do. Nhìn tổng thể hơn về DeFi Perp trên FTX, có một đỉnh điểm rõ ràng là vào ngày 13 tháng 2 khi vụ hack xảy ra.

Chỉ số DeFi của FTX, nhờ sự hỗ trợ của TradingView.

Có lẽ một số trong số đó chỉ là hành động thị trường bình thường, nhưng nhìn chung, nó trông như thể vụ hack một tay đã đặt dấu chấm hết cho mùa DeFi.

Kiểm toán viên cảm thấy nhiệt

Như bất kỳ giao thức nào đạt được bất kỳ loại áp dụng đại chúng nào hiện nay, Alpha Homora đã được kiểm toán bởi Quantstamp và PeckShield, cả hai đều là những công ty có kỹ năng và đáng kính trọng.

Tuy nhiên, các chi tiết của vụ hack khiến một số người nghi ngờ rằng đó là một công việc nội bộ, có khả năng là do ai đó tại các công ty kiểm toán này thực hiện. Nhà phát triển cốt lõi của Yearn.finance Banteg đề cập Làm thế nào mà các chi tiết của vụ hack lại rất mù mờ đến nỗi không ai có thể phát hiện ra nó chỉ bằng cách nhìn vào các hợp đồng. Đáng chú ý, pool bị hacker tấn công không được thông báo trước và không được sử dụng, đó là điều cho phép hack xảy ra ngay từ đầu.

Xem thêm: An Toàn & Bảo Mật Web3: Vitalik Buterin Lên Tiếng

Mặc dù không có cáo buộc công khai nào, nhưng vụ việc đã gây ra một cuộc thảo luận khác về lý do tại sao các kiểm toán viên không bắt được lỗi, liệu họ có được khuyến khích thích đáng hay không và làm thế nào để tình trạng này có thể được giảm thiểu.

Giải phẫu của một vụ hack phức tạp

Là một cựu thợ săn tiền thưởng lỗi, tôi thực sự tin rằng hệ sinh thái kiểm toán gần như “phù hợp với khuyến khích” nhất có thể. Các công ty kiểm toán mạo hiểm danh tiếng của họ mỗi khi một lỗi lớn như thế này lọt qua lưới của họ. Quá đủ trong số này nhanh chóng và không ai sẽ tin tưởng vào doanh nghiệp đó nữa. Kiểm toán viên có tất cả động lực để tìm mọi thứ họ có thể, chỉ là đôi khi họ thực tế không thể làm như vậy.

Kiểm toán là một hợp đồng có thời hạn, trong đó một nhóm kỹ sư bảo mật có kinh nghiệm sẽ rà soát mã để tìm kiếm bất kỳ thứ gì có vẻ đáng ngờ. Từ khóa ở đây là “thời gian giới hạn” và “tìm kiếm bất kỳ thứ gì”.

Tôi có thể nói từ kinh nghiệm cá nhân rằng một lỗi giống như lỗi mà chúng tôi gặp phải bây giờ không phải là thứ bạn có thể tình cờ tìm thấy bằng cách nhìn vào mã. Việc tìm ra một lỗi gồm nhiều bước, phức tạp như thế này là một quá trình lặp đi lặp lại. Nó bắt đầu với việc bạn vấp phải một điều kỳ lạ không hoạt động như bình thường. Ví dụ: một trang web quên kiểm tra xem bạn có thực sự đăng nhập khi thực hiện một tác vụ nhất định hay không. Bạn cầm lấy thứ đó và tự hỏi mình, “làm thế nào tôi có thể khai thác điều này?” Bạn nảy ra ý tưởng, tìm kiếm các điểm yếu khác trên nền tảng và xem liệu bạn có thể kết hợp chúng bằng cách nào đó hay không. Hầu hết thời gian bạn không thực sự tìm thấy bất cứ điều gì và điểm yếu đó vẫn không thể khai thác được.

Xem thêm: Rebase Token là gì? Khái niệm và cơ chế hoạt động

Nhưng với những ngày làm việc tập trung, nhiều thử nghiệm và sai sót, đôi khi bạn không tìm ra cách khai thác vấn đề ban đầu. Khi điều đó xảy ra, nó luôn là sự kết hợp của các yếu tố đơn lẻ có vẻ không liên quan, nhưng kết hợp với nhau chúng lại tạo thành một câu đố khó nhằn.

Sự tập trung và cống hiến cần thiết để tìm ra hầu hết các lỗi dẫn đến các vụ hack lớn là thứ vượt ra ngoài phạm vi của cuộc kiểm tra. Nếu họ theo đuổi từng khách hàng tiềm năng với thời gian họ có, họ sẽ lãng phí rất nhiều theo đúng nghĩa đen đến mức họ sẽ không tìm thấy những thứ hiển nhiên và dễ dàng khai thác. Không có nghĩa là kiểm toán viên không bao giờ tìm thấy những lỗi phức tạp, nhưng thật vô lý khi mong đợi họ tìm ra mọi thứ. Và nếu một kiểm toán viên thực sự đã tìm ra lỗi Alpha Homora và từ chối nó, thì có những vấn đề sâu sắc hơn là các động lực kinh tế.

Cách bảo mật DeFi

Các vấn đề với kiểm toán có nghĩa là các dự án nên khởi chạy tiền thưởng lỗi để tìm ra những lỗi thực sự phức tạp. Họ không có giới hạn thời gian, nhiều con mắt đang dò xét nền tảng hơn và việc trả lương dựa trên kết quả – hiệu quả hơn nhiều so với việc trả thêm giờ làm việc cho các kiểm toán viên với hy vọng họ sẽ tìm thấy thứ gì đó.

Xem thêm: ZKsync nhắm tới 10K TPS và phí âm trước 2025

Hầu hết mọi người đều hiểu sức mạnh của tiền thưởng lỗi, mặc dù tất nhiên Alpha Homora không có. Nhưng các dự án như Yearn.finance thì có, và chúng đều bị tấn công như nhau.

Đôi khi những điều này chỉ xảy ra. Crypto mang một kết hợp có vấn đề mà thực sự khai thác một lỗi để kiếm tiền và loại bỏ nó là có thật không dễ dàng, trong khi cơ sở hạ tầng không giống bất cứ thứ gì khác mà tin tặc từng thấy trước đây. Để bắt đầu tìm kiếm tiền thưởng trong DeFi, bạn phải là một chuyên gia tiền điện tử nghiêm túc và một lập trình viên Solidity / Vyper có kinh nghiệm – cả hai điều này không chỉ đến ngay lập tức. Đối với một hacker mũ trắng, có rất nhiều nền tảng Web2 tiêu chuẩn cung cấp tiền thưởng rất cạnh tranh, tại sao họ phải nghiên cứu DeFi?

Mọi người hiểu sai về thách thức của việc bảo mật các giao thức. Alpha Homora nói rằng bất kỳ khoản tiền thưởng nào mà họ có thể trả sẽ bị nhạt đi so với chiến lợi phẩm đang bị đe dọa. Nhưng mục tiêu không nên là trả cho tin tặc những gì họ có thể đánh cắp. Đó là một đề xuất thua cuộc. Mục đích là thu hút các hacker mũ trắng tốt bụng phân tích dự án và được trả một khoản tiền thưởng hợp pháp. Một khoản tiền thưởng ít hơn hàng triệu mà họ có thể nhận được bằng cách khai thác lỗi, nhưng một khoản tiền thưởng vẫn có thể là khoản tiền thay đổi cuộc đời. Có thể là một cái gì đó như 50.000 đô la, 200.000 đô la, tùy thuộc vào tình hình? Con số này có thể ít hơn chi phí của một cuộc kiểm toán của một công ty được đánh giá cao.