Tấn công DeFi gần đây phơi bày lỗ hổng trong tiêu chuẩn vault ERC-4626

Updated: 31/03/2025 at 16:00

Một vụ tấn công gần đây trong lĩnh vực DeFi – đã cho thấy những điểm yếu trong hệ thống lưu trữ tiền điện tử, cụ thể là vault ERC-4626. Hacker đã lợi dụng công cụ quen thuộc gọi là flash loan (khoản vay nhanh, mượn và trả ngay trong giây lát) để làm sai lệch tỷ giá và đánh lừa hệ thống định giá, hay còn gọi là oracle.

Vào ngày 27/2, một hacker đã thực hiện cái gọi là “tấn công quyên góp” bằng cách vay khoảng 4 triệu USD từ Aave – một nền tảng cho vay tiền điện tử. Mục tiêu là token wUSDM, thuộc hệ thống vault ERC-4626 của Mountain Protocol. Đây là một loại tiền điện tử có lợi nhuận, được liên kết với stablecoin USDM – tiền điện tử có giá trị ổn định nhờ được bảo đảm bằng trái phiếu ngắn hạn của Mỹ. Hacker đã cố tình đẩy tỷ giá của wUSDM từ 1,06 lên 1,7, làm cho nó trông có giá trị cao hơn thực tế.

Tiếp theo, hacker dùng hai tài khoản để tự “thanh lý” – tức giả vờ bán tài sản của chính mình – trên Venus Protocol, một nền tảng cho vay khác. Dù Venus nhanh chóng khóa giao dịch để ngăn chặn, hacker vẫn bỏ túi khoảng 200.000 USD lợi nhuận. Trong khi đó, Venus chịu thiệt hại hơn 716.000 USD, theo báo cáo phân tích từ Chaos Labs, một công ty chuyên về quản lý rủi ro.

Yoni Keselbrener, trưởng bộ phận DeFi tại Lightblocks Labs, chia sẻ với tờ The Block: “Cả hai đội ngũ đã kịp thời ứng phó bằng cách khóa thị trường, điều chỉnh các quy tắc rủi ro và đưa tỷ giá về mức bình thường.” Keselbrener là người đóng góp cho eOracle, một hệ thống cung cấp dữ liệu thực tế cho các ứng dụng phi tập trung trên Ethereum.

Vault ERC-4626, ra mắt từ tháng 5/2022, là tiêu chuẩn để tạo ra các kho lưu trữ tiền điện tử. Tuy nhiên, báo cáo của Chaos Labs chỉ ra rằng tiêu chuẩn này “không có biện pháp bảo vệ khi tỷ giá bị thay đổi bất thường trong các nền tảng cho vay.”

Tháng 1/2024, Euler Finance đã công bố nghiên cứu cảnh báo rằng hầu hết các vault ERC-4626 không có cơ chế an toàn để ngăn chặn việc thao túng tỷ giá. Họ cho rằng cần kết hợp nhiều biện pháp bảo vệ để hiệu quả hơn.

Chaos Labs cũng nhận định vụ tấn công có thể tránh được nếu áp dụng các biện pháp như: “Hợp đồng wUSDM nên dùng hệ thống kiểm tra tỷ giá từ nhiều nguồn khác nhau. Hoặc nếu Venus được cảnh báo sớm, họ có thể giới hạn việc tỷ giá tăng bất thường.” Để tránh tái diễn, Aave dự kiến áp dụng cơ chế CAPO – một công cụ giới hạn tăng giá giả tạo – cho tất cả các loại tiền điện tử có lợi nhuận, ngăn chặn hacker tạo ra lợi nhuận ảo.

Tài khoản X của Curve Finance bình luận: “Lỗ hổng này không chỉ xảy ra với vault đạt chuẩn mà với mọi loại vault. Đây là sai lầm thường thấy ở các nền tảng cho vay.”

Keselbrener nhận xét: “Cơ chế CAPO rất hiệu quả, nhưng đòi hỏi thêm mã lập trình phức tạp và cần được theo dõi liên tục. Chúng ta phải đảm bảo nó không cản trở lợi nhuận hợp lệ mà vẫn ngăn được hacker.” Ông nói thêm: “Khi DeFi ngày càng phức tạp, chúng ta không thể chỉ dựa vào dữ liệu giá đơn giản. Cần hiểu rõ rủi ro của từng loại tiền điện tử. Hệ thống kiểm tra giá từ nhiều nguồn không phải là nhược điểm, mà là lớp bảo vệ quan trọng. Các nhà cung cấp oracle chuyên dụng có thể thiết kế biện pháp phát hiện và ngăn chặn những vụ tấn công như thế này.”

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

Thạch Sanh

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Thị trường crypto đang chịu áp lực khi nhiều sự kiện mở khóa altcoin và dữ liệu việc làm sắp tới của Hoa Kỳ chi phối các cuộc thảo luận của nhà đầu tư. Đáng chú ý, hơn 369 triệu đô la token dự kiến ​​mở khóa trong khoảng thời... ...

Trong 24 giờ qua, Ai16z đã ghi nhận mức tăng mạnh trên biểu đồ giá. Altcoin này tăng 15,49% từ mức thấp $0,2100 chạm đỉnh tại $0,2587, trước khi giảm nhẹ. Trong cùng thời gian, tất cả các thị trường phái sinh của memecoin đều chuyển sang tăng giá. Trên... ...

Rủi ro lớn nhất đối với Bitcoin (BTC) khi máy tính lượng tử đạt đến ngưỡng đột phá chính là “khoảng thời gian chuyển tiếp” cần thiết để mạng lưới thích nghi và trở nên kháng lượng tử — theo Matt Sigel, Trưởng bộ phận nghiên cứu tài sản số... ...

Công ty Strategy vừa công bố kế hoạch huy động 250 triệu USD thông qua đợt chào bán cổ phiếu ưu đãi vĩnh viễn nhằm mở rộng danh mục đầu tư Bitcoin. Theo thông báo ngày 2/6, Strategy sẽ phát hành 2,5 triệu cổ phiếu ưu đãi loại A, mã... ...

Vào ngày 2 tháng 6, hơn 40 triệu token ENA đã chính thức được mở khóa, làm dấy lên lo ngại về một đợt điều chỉnh mạnh trên thị trường. Tuy nhiên, trái với kỳ vọng về làn sóng bán tháo ồ ạt, token gốc của Ethena đã thể hiện... ...

Dù vẫn duy trì trong vùng xu hướng tăng, Shiba Inu (SHIB) đã ghi nhận mức giảm 6,7% trong tuần qua. Tuy nhiên, các tín hiệu kỹ thuật đang cho thấy đợt điều chỉnh này có thể sắp chấm dứt, khi nhiều yếu tố mang tính hỗ trợ bắt đầu... ...

Solana đã giảm mạnh trong tuần qua, mất 15% trong bối cảnh thị trường chung suy yếu gây ảnh hưởng đến hầu hết các altcoin lớn. Dự án Layer-1 hiện giao dịch quanh $160, giảm so với mức cao nhất của tuần trước là gần $180. Mặc dù đợt điều... ...

PI Network chuẩn bị mở khóa hơn 250 triệu token vào tháng 6, một động thái có thể làm tăng đáng kể áp lực bán đang đè nặng lên altcoin này. Với các chỉ báo kỹ thuật cho thấy sự quan tâm của nhà đầu tư đang giảm dần, PI... ...

Bitcoin (BTC) đã không thể giữ vững trên vùng kháng cự quanh mức cao nhất mọi thời đại trước đó ở $107.000, phản ánh lực cầu tại vùng giá cao đang có dấu hiệu suy yếu. Theo dữ liệu mới nhất từ công ty phân tích Santiment, hoạt động của... ...

Trong một hồ sơ pháp lý được công bố vào thứ Hai, Reitar Logtech Holdings Ltd., một công ty có trụ sở tại Hồng Kông, đã thông báo rằng họ đang tiến hành đàm phán về một thương vụ mua lại chiến lược trị giá lên tới 1,5 tỷ USD... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode