Một khoản vay từ người lạ không yêu cầu người dùng phải đặt cọc bất kỳ khoản tiền nào của họ? Có thể, với một điều kiện: những cá nhân phải hoàn trả cho người cho vay trong cùng một giao dịch đã phát hành. Nghe có vẻ lạ phải không? Bạn có thể làm gì với một khoản vay cần được trả lại vài giây sau đó?
Hóa ra bạn có thể mua các hợp đồng thông minh trong cùng một giao dịch đó. Nếu bạn có thể kiếm nhiều tiền hơn bằng cách sử dụng khoản vay của mình, bạn có thể trả lại tiền và bỏ túi khoản lợi nhuận đó chỉ trong nháy mắt. Tuy nhiên, đó không phải là điều dễ dàng.
Flash loan trong DeFi là gì?
Có nhiều sự hào nhoáng trong không gian tiền điện tử về việc tái tạo lại hệ thống tài chính kế thừa, nhưng trên blockchain. Những người hoài nghi có thể không đồng ý với ý kiến này, nhưng chắc chắn có một số cơ sở hạ tầng thú vị đang được xây dựng trên mặt trận đó.
Thật vậy, toàn bộ mục đích của tài chính phi tập trung (DeFi) là mang lại sự sống động cho một hệ sinh thái tài chính không cần cho phép, phi tập trung và minh bạch trên các mạng blockchain. Tiền điện tử đã chứng minh rằng có thể làm được điều đó bằng tiền. Mỗi ngày, các hệ thống như Bitcoin được sử dụng để chuyển giá trị trên toàn cầu.
Làn sóng công nghệ DeFi mới hứa hẹn một lớp bổ sung. Ngày nay, bạn có thể vay các khoản vay được hỗ trợ bằng tiền điện tử, trao đổi tài sản kỹ thuật số một cách đáng tin cậy và lưu trữ tài sản bằng những đồng coin bắt chước giá của tiền tệ fiat.
Chúng ta cùng xem xét một danh mục cụ thể của các khoản cho vay – flash loan (vay nhanh). Đây là sự bổ sung thực sự độc đáo cho nền tảng tài chính phi tập trung đang ngày càng phát triển.
Các khoản vay thông thường hoạt động như thế nào?
Hầu hết chúng ta đều hiểu cách hoạt động của một khoản vay thông thường. Tuy nhiên, cần nhắc lại để chúng ta có thể so sánh.
Các khoản vay không có bảo đảm
Khoản vay không bảo đảm là khoản vay mà bạn không cần phải đưa ra bất kỳ tài sản thế chấp nào. Nói cách khác, không có tài sản nào bạn đồng ý mà người cho vay có thể có nếu bạn không hoàn trả khoản vay. Ví dụ: giả sử rằng bạn thực sự muốn một dây chuyền vàng trị giá 3.000 đô la với logo Binance được treo trên đó. Bạn không có sẵn tiền mặt, nhưng bạn sẽ có khi được thanh toán vào tuần tới.
Bạn nói chuyện với bạn của bạn. Bạn giải thích với anh ấy rằng bạn muốn chuỗi này kinh khủng đến mức nào, nó sẽ cải thiện trò chơi giao dịch của bạn ít nhất 20% và anh ấy đồng ý cho bạn vay tiền. Tất nhiên, với điều kiện, bạn phải trả nợ cho anh ta ngay khi tiền lương của bạn đến.
Nam là bạn tốt của bạn, vì vậy anh ấy đã không tính phí khi cho bạn vay 3.000 đô la. Không phải ai cũng tốt bụng như vậy – nhưng, một lần nữa, tại sao họ phải như vậy? Nam tin tưởng bạn sẽ trả lại tiền cho anh ta. Một người khác có thể không biết bạn, vì vậy họ không biết liệu bạn có lấy của họ hay không.
Thông thường, các khoản vay không bảo đảm từ các tổ chức yêu cầu một số loại kiểm tra tín dụng. Họ sẽ xem xét hồ sơ của bạn (điểm tín dụng) để đo lường khả năng trả nợ của bạn. Nếu họ thấy rằng bạn đã vay một số khoản vay và trả lại đúng hạn, họ có thể nghĩ là tốt, chúng khá đáng tin cậy. Hãy cho họ vay tiền.
Tại thời điểm đó, tổ chức cung cấp cho bạn tiền, nhưng nó đi kèm với các ràng buộc, đó là lãi suất. Để nhận được tiền ngay bây giờ, bạn cần chấp nhận rằng bạn sẽ trả lại số tiền cao hơn sau đó.
Bạn có thể quen với mô hình này nếu bạn sử dụng thẻ tín dụng. Nếu bạn không thanh toán hóa đơn của mình trong một khoảng thời gian nhất định, bạn sẽ bị tính lãi suất cho đến khi bạn hoàn trả toàn bộ số dư (và các khoản phí bổ sung).
Khoản vay có bảo đảm
Đôi khi điểm tín dụng tốt là không đủ. Ngay cả khi bạn đã hoàn trả tất cả các khoản vay đúng hạn trong nhiều thập kỷ, bạn sẽ gặp khó khăn khi vay những khoản tiền lớn chỉ dựa trên mức độ tín nhiệm của bạn. Trong những trường hợp này, bạn cần phải đưa ra tài sản thế chấp.
Nếu bạn yêu cầu ai đó cho vay một khoản lớn, sẽ rất rủi ro khi họ chấp nhận. Để giảm rủi ro một chút, họ sẽ yêu cầu bạn bỏ tiền ra mua chính tài sản của mình. Một tài sản của bạn – có thể là bất cứ thứ gì từ đồ trang sức đến tài sản giá trị khác – sẽ trở thành của người cho vay nếu bạn không trả lại chúng đúng hạn. Ý tưởng ở đây là người cho vay sau đó có thể thu hồi một số giá trị mà họ đã mất. Tóm lại, đó là tài sản thế chấp.
Giả sử bây giờ bạn muốn có một chiếc ô tô 50.000 đô la. Nam tin tưởng bạn, nhưng anh ta không muốn đưa tiền cho bạn dưới hình thức cho vay không bảo đảm. Thay vào đó, anh ấy yêu cầu bạn đặt một số tài sản thế chấp – bộ sưu tập đồ trang sức hay bất kỳ tài sản nào của bạn. Bây giờ, nếu bạn không trả được khoản vay, Nam có thể thu giữ tài sản đó của bạn và bán nó.
Flash loan hoạt động như thế nào?
Một khoản vay nhanh là một khoản vay không có thế chấp vì bạn không cung cấp bất kỳ tài sản thế chấp nào. Nhưng bạn cũng không cần phải vượt qua kiểm tra tín dụng hoặc bất cứ điều gì tương tự. Bạn chỉ cần hỏi người cho vay xem bạn có thể vay 50.000 đô la trong ETH hay không, họ nói là có! Của bạn đây! Và bạn đã hoàn tất.
Rắc rối? Khoản vay nhanh phải được hoàn trả trong cùng một giao dịch. Điều đó không trực quan chút nào, nhưng đó chỉ bởi vì chúng ta đã quen với một định dạng giao dịch điển hình trong đó tiền chuyển từ người dùng này sang người dùng khác. Giống như khi bạn thanh toán cho hàng hóa hoặc dịch vụ hoặc gửi token vào một sàn giao dịch.
Tuy nhiên, nếu bạn biết một chút về Ethereum, bạn sẽ biết rằng nền tảng này khá linh hoạt – đó là lý do tại sao một số người gọi nó là tiền có thể lập trình được. Trong trường hợp vay nhanh, bạn có thể nghĩ “chương trình” giao dịch của mình được tạo thành ba phần: nhận khoản vay, làm điều gì đó với khoản vay, hoàn trả khoản vay. Và tất cả chỉ diễn ra trong nháy mắt!
Hãy cho đó là sự kỳ diệu của công nghệ blockchain. Giao dịch được gửi đến mạng, tạm thời cho bạn vay những khoản tiền đó. Bạn có thể thực hiện một số công việc trong phần hai của giao dịch. Làm bất cứ điều gì bạn muốn, miễn là có đủ tiền cho phần ba. Nếu không, mạng từ chối giao dịch, có nghĩa là người cho vay sẽ lấy lại tiền của họ. Trên thực tế, liên quan đến blockchain, chúng luôn có tiền.
Điều đó giải thích tại sao người cho vay không yêu cầu bạn thế chấp. Hợp đồng hoàn trả được thực thi bằng code.
Vấn đề của Flash loan là gì?
Ở giai đoạn này, bạn có thể tự hỏi tại sao bạn lại vay tiền nhanh. Nếu tất cả những điều này xảy ra trong một giao dịch, bạn không thể mua chính xác một chiếc Lambo, phải không?
Chà, đó không thực sự là mục tiêu ở đây. Hãy tập trung vào phần hai của giao dịch được mô tả trước đây, nơi bạn thực hiện điều gì đó với khoản vay. Ý tưởng là cung cấp tiền vào một hợp đồng thông minh (hoặc chuỗi hợp đồng), chuyển lợi nhuận và trả lại khoản vay ban đầu khi kết thúc giao dịch. Như bạn có thể thấy, điểm mấu chốt của các khoản vay nhanh là sinh lời.
Có một số trường hợp sử dụng mà điều này có thể hữu ích. Rõ ràng là bạn không thể thực hiện bất kỳ công việc off-chain nào trong thời gian chờ đợi, nhưng bạn có thể khai thác các giao thức DeFi để kiếm nhiều tiền hơn bằng cách sử dụng khoản vay của mình. Các ứng dụng phổ biến nhất là trong giao dịch chênh lệch giá, nơi bạn tận dụng sự chênh lệch giá giữa các địa điểm giao dịch khác nhau.
Giả sử rằng một token được giao dịch với giá 10 đô la tại DEX A, nhưng 10,50 đô la tại DEX B. Giả sử không có phí, mua 1 token trên DEX A trước khi bán lại chúng trên DEX B sẽ mang lại lợi nhuận là 5 đô la. Loại hoạt động này sẽ không sớm mang lại cho bạn một hòn đảo riêng, nhưng bạn có thể thấy cách bạn có thể kiếm tiền bằng cách giao dịch khối lượng lớn. Nếu bạn mua 10.000 token với giá 100.000 đô la và chuyển thành công chúng với giá 105.000 đô la, bạn sẽ có lợi nhuận là 5.000 đô la.
Nếu bạn có được một khoản vay nhanh (ví dụ: thông qua giao thức Aave), bạn có thể tận dụng các cơ hội chênh lệch giá như thế này trên các sàn giao dịch phi tập trung. Sơ lược về vay nhanh:
- Vay 10.000 đô la
- Sử dụng khoản vay để mua token trên DEX A
- Bán lại các token trên DEX B
- Trả lại khoản vay (cộng với bất kỳ lãi suất nào)
- Giữ lợi nhuận
Tất cả trong một giao dịch! Tuy nhiên, trên thực tế, các khoản phí giao dịch, kết hợp với cạnh tranh cao, lãi suất và trượt giá, làm cho lợi nhuận của chênh lệch giá trở nên mỏng như dao cạo. Bạn sẽ cần phải tìm ra cách để chơi chênh lệch giá làm sao để hoạt động có lãi. Khi bạn cạnh tranh với hàng nghìn người dùng khác đang cố gắng làm điều tương tự, bạn sẽ không gặp nhiều may mắn.
Các cuộc tấn công Flash loan
Tiền điện tử hay nói cách khác, DeFi là một lĩnh vực mang tính thử nghiệm cao. Khi quá nhiều tiền được stake, chỉ còn là vấn đề thời gian trước khi các lỗ hổng được phát hiện. Trong Ethereum, chúng ta đã thấy một ví dụ về điều này với vụ hack DAO 2017 kinh điển. Nhiều giao thức kể từ đó đã bị tấn công 51% vì lợi ích tài chính.
Vào năm 2020, hai cuộc tấn công cho flash loan nổi tiếng đã chứng kiến những kẻ tấn công kiếm được gần 1.000.000 đô la vào thời điểm đó. Cả hai cuộc tấn công đều theo một mô hình tương tự.
Cuộc tấn công flash loan đầu tiên
Trong lần đầu tiên, người đi vay thực hiện một khoản vay nhanh bằng ether trên dYdX (DApp cho vay). Sau đó, họ chia khoản vay đó và gửi đến hai nền tảng cho vay khác: Compound và Fulcrum.
Trên Fulcrum (được xây dựng dựa trên giao thức bZx), kẻ tấn công đã sử dụng một phần khoản vay để short ETH so với WBTC, có nghĩa là Fulcrum bây giờ phải mua WBTC. Thông tin này đã được chuyển tiếp đến một giao thức DeFi khác, Kyber, giao thức này đã thực hiện đơn đặt hàng trên Uniswap, một DEX dựa trên Ethereum phổ biến. Tuy nhiên, do tính thanh khoản của Uniswap thấp, giá của WBTC đã tăng đáng kể, có nghĩa là Fulcrum đã trả quá nhiều cho WBTC mà nó đã mua.
Đồng thời, kẻ tấn công đã lấy một khoản vay Compound của WBTC bằng cách sử dụng phần còn lại của khoản vay dYdX. Giá tăng, họ chuyển WBTC đã vay trên Uniswap và kiếm được một khoản lợi nhuận kha khá. Cuối cùng, họ hoàn trả khoản vay của mình từ dYdX và bỏ túi số ETH còn lại.
Có vẻ như nhiều công đoạn đã được thực hiện và thậm chí có thể khó theo dõi. Điểm mấu chốt là kẻ tấn công đã tận dụng năm giao thức DeFi khác nhau để thao túng thị trường. Thật kinh ngạc, tất cả những điều này xảy ra trong thời gian khoản vay nhanh ban đầu được xác nhận.
Bạn đã xác định được vấn đề ở đâu chưa? Nó nằm trong giao thức bZx được sử dụng bởi Fulcrum. Bằng cách thao túng thị trường, kẻ tấn công có thể lừa nó nghĩ rằng WBTC đáng giá hơn rất nhiều so với thực tế.
Cuộc tấn công flash loan thứ hai
Đó không phải là một tuần tốt cho bZx. Chỉ vài ngày sau, nó lại bị một đợt tấn công khác. Thủ phạm đã thực hiện một khoản vay chớp nhoáng và chuyển đổi một phần của nó thành stablecoin (sUSD). Bạn có thể đã biết rằng stablecoin theo dõi giá của các loại tiền tệ fiat. Rốt cuộc thì nó cũng có USD.
Bất chấp tên gọi, các hợp đồng thông minh không thông minh như vậy. Chúng không biết giá của stablecoin là gì. Vì vậy, khi kẻ tấn công đặt một đơn đặt hàng lớn để mua sUSD (sử dụng ETH vay), giá tăng gấp đôi trên Kyber.
bZx nghĩ rằng sUSD đáng giá 2 đô la thay vì 1 đô la. Sau đó, kẻ tấn công đã thực hiện một khoản vay ETH lớn hơn nhiều so với mức bình thường được phép trên bZx vì đồng 1 đô la của họ có sức mua là 2 đô la. Cuối cùng, kẻ tấn công đã hoàn trả khoản vay nhanh ban đầu và bỏ trốn với phần còn lại.
Flash loan có rủi ro không?
Đúng hay sai, vectơ tấn công cụ thể này rất ấn tượng, nếu chỉ vì nó cho thấy những kẻ tấn công có thể đi bao xa. Thật dễ dàng để xem xét lại các phương pháp họ đã sử dụng và nói rằng bZx lẽ ra nên sử dụng một oracle giá khác để lấy dữ liệu của nó. Nhưng thực tế là loại hình trộm cắp này cực kỳ rẻ: nó không đòi hỏi nhiều đầu tư từ kẻ tấn công. Không có sự ngăn cản tài chính nào cản trở họ thực hiện điều này.
Theo truyền thống, các cá nhân hoặc nhóm muốn thao túng thị trường cần một lượng tiền điện tử khổng lồ. Nhưng với các khoản vay nhanh, bất cứ ai cũng có thể trở thành cá voi trong vài giây. Và, như chúng ta đã thấy, một vài giây là tất cả những gì bạn cần để kiếm tiền với số ether trị giá hàng trăm nghìn đô la.
Về mặt tích cực, phần còn lại của không gian sẽ học hỏi từ hai cuộc tấn công. Có khả năng là một người khác sẽ thành công một lần nữa, bây giờ mọi người đã biết về họ? Có lẽ. Oracles có một số điểm yếu, như đã thấy trong cuộc tấn công thứ hai, và họ cần phải làm việc đáng kể để loại bỏ các lỗ hổng đó.
Nói chung, đây không phải là lỗi với các khoản vay nhanh, cụ thể là – các lỗ hổng đã được khai thác nằm trong các giao thức khác, trong khi các khoản vay nhanh chỉ tài trợ cho cuộc tấn công. Hình thức cho vay DeFi này có thể có nhiều trường hợp sử dụng thú vị trong tương lai, đặc biệt là do rủi ro thấp cho cả người đi vay và người cho vay.
Kết luận
Flash loan mới tiếp cận không gian DeFi, nhưng chúng chắc chắn đã tạo được ấn tượng lâu dài. Khái niệm về các khoản vay không thế chấp, chỉ được thực thi bằng code, mở ra một thế giới đầy tiềm năng trong một hệ thống tài chính mới.
Các trường hợp sử dụng hiện nay khá hạn chế, nhưng cuối cùng, các khoản vay nhanh đã đặt nền tảng cho các ứng dụng mới sáng tạo trong lĩnh vực tài chính phi tập trung.
- Đối với DeFi, flash loan có thể gây rủi ro lớn hơn dự kiến
- Tấn công ‘flash loan’ DeFi đã thay đổi mọi thứ
Ông Giáo
Theo Binance Academy
