Một hoạt động khai thác hợp đồng thông minh gần đây đã làm mất 1.193 ETH, khiến cộng đồng mạng nghi ngờ về tính bảo mật của lĩnh vực DeFi đang phát triển nhanh chóng.
Cuối tuần qua, vụ việc khai thác lỗ hổng hợp đồng thông minh đã buộc các nhà phát triển tại ứng dụng Fulcrum trên Ethereum phải vô hiệu hóa một phần hợp đồng thông minh của mình. Phân tích hành vi vi phạm an ninh cho thấy kẻ tấn công đã sử dụng một loạt các giao dịch phức tạp trên nhiều ứng dụng để khai thác lỗ hổng. Điều này khiến các nhà nghiên cứu kết luận hacker có “kiến thức cực kỳ sâu rộng về mọi giao thức DeFi”.
Tính khả thi của DeFi
Vụ việc khiến một số người đặt câu hỏi về khả năng tồn tại của lĩnh vực DeFi. Charlie Lee, người sáng lập Litecoin, cho biết ứng dụng phi tập trung có khóa quản trị để tạm dừng các hợp đồng chung quy là ‘rạp hát phi tập trung’.
Nhà phát triển Lightning Network Alex Bosworth đã chia sẻ một ý kiến tương tự:
If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d
— Alex Bosworth ☇ (@alexbosworth) February 15, 2020
“Nếu dự án “defi” của bạn có khóa quản trị hoặc điều phối viên, nhóm các nhà tiên tri, nhóm các trình xác nhận hoặc trình điều khiển, danh sách các khóa đáng tin cậy mặc định, ngay cả khi bạn có kế hoạch loại bỏ nó, bạn thực sự đang điều hành dịch vụ tài chính”.
Cho dù tuyên bố phân cấp tuyệt đối là chính xác hay không thì các sự cố chỉ ra vấn đề lớn hơn và cơ bản hơn nhiều trong ngành. Mặc dù báo cáo của các nhà nghiên cứu tại bZx nhận định tất cả các quỹ của người dùng đều an toàn và họ đã thực hiện bản vá để ngăn những kẻ tấn công ‘ngựa quen đường cũ’, nhưng bản sửa lỗi đó không thể ngăn chặn các lỗ hổng khác trong tương lai.
Với vai trò ứng dụng tài chính, những loại như Fulcrum là miếng mồi béo bở khổng lồ cho tin tặc. Hoạt động liên tục và với các chức năng ngày càng phức tạp, thực tế là rất nhiều hợp đồng thông minh đã trở thành nạn nhân của việc khai thác trái phép, chứng tỏ họ đã tạo ra một mục tiêu hấp dẫn.
Phóng viên và nhà quan sát ngành công nghiệp Larry Cermak đã nhấn mạnh vấn đề này thông qua Twitter vào thứ 3 tuần trước. Anh mô tả các ứng dụng DeFi hiện tại là “món hời trị giá hàng triệu đô la liên tục mở 24/7 và với rất ít hậu quả”.
Cermak kết luận để tạo được một ứng dụng DeFi thì các nhà phát triển phải hết sức đau đầu:
In all seriousness, I can’t even imagine the stress that the DeFi currently have EVERY SINGLE DAY. It’s a multi million dollar bounty open 24/7 and with very little consequences.
— Larry Cermak (@lawmaster) February 18, 2020
“Nói một cách nghiêm túc, tôi thậm chí có thể tưởng tượng sự căng thẳng mà DeFi hiện đang có mỗi ngày. Nó là một món hời hàng triệu đô la liên tục mở 24/7 với rất ít hậu quả”.
Bản thân các nhà phát triển bZx dường như đồng ý với những điều trên. Kyle J Kistner, CVO của bZx viết:
“Không gian đang phát triển nhanh chóng và an ninh ngày càng trở nên khủng khiếp hơn khi các rào cản gia nhập thực thi khai thác giảm xuống 0. Điều này không hề hiện diện trong hệ thống tài chính truyền thống. Chúng tôi đang ở trong vùng lãnh thổ chưa được khám phá”.
Vùng chưa được kiểm chứng
Trong khi đó, những người khác lập luận rằng ngành công nghiệp vẫn chưa được kiểm chứng để mọi người có thể đầu tư số tiền lớn vào các ứng dụng mới, phức tạp. Trong dòng tweet sau đây, Taylor Monahan, CEO của MyCrypto.com, nói chi tiết cách bZx là trung tâm của một số lỗ hổng trước đây:
The problem is idiots can build an exciting product, ignore security, refuse to learn, and still handle millions of dollars worth of your money bc y’all think #DeFi is safe. 😕
1. Start holding people accountable
2. Stop giving idiots your money
3. Start learning from history— Taylor Monahan (@tayvano_) February 18, 2020
“Vấn đề là những kẻ ngốc có thể xây dựng một sản phẩm thú vị, bỏ qua bảo mật, từ chối học hỏi và vẫn xử lý số tiền trị giá hàng triệu đô la của bạn vì bạn nghĩ rằng DeFi an toàn.
- Hãy có trách nhiệm
- Ngừng đưa tiền cho những kẻ ngốc
- Bắt đầu học từ lịch sử”
Cuối cùng, cô kết luận rằng việc khai thác DeFi phải đủ để lèo lái mọi người trong ngành. Cô cũng lập luận về trách nhiệm giải trình tốt hơn. Tuy nhiên, với sự quan tâm và các khoản đầu tư vào tài chính phi tập trung tiếp tục tăng nhanh cũng như các ứng dụng sẽ phát triển theo hướng phức tạp hơn, chắc chắn vấn đề sẽ rất khủng khiếp nếu sự cố tương tự vụ hack Fulcrum xảy ra lần nữa.
- DeFi: Tài chính tỷ đô, vụ hack triệu đô nhưng thực chất gần như vô giá trị
- Nếu Tron là “Killer Ethereum” thì ứng dụng Defi ở đâu?
Thùy Trang
Tạp chí Bitcoin | Beincrypto
