Tấn công DeFi gần đây phơi bày lỗ hổng trong tiêu chuẩn vault ERC-4626

Một vụ tấn công gần đây trong lĩnh vực DeFi – đã cho thấy những điểm yếu trong hệ thống lưu trữ tiền điện tử, cụ thể là vault ERC-4626. Hacker đã lợi dụng công cụ quen thuộc gọi là flash loan (khoản vay nhanh, mượn và trả ngay trong giây lát) để làm sai lệch tỷ giá và đánh lừa hệ thống định giá, hay còn gọi là oracle.

Vào ngày 27/2, một hacker đã thực hiện cái gọi là “tấn công quyên góp” bằng cách vay khoảng 4 triệu USD từ Aave – một nền tảng cho vay tiền điện tử. Mục tiêu là token wUSDM, thuộc hệ thống vault ERC-4626 của Mountain Protocol. Đây là một loại tiền điện tử có lợi nhuận, được liên kết với stablecoin USDM – tiền điện tử có giá trị ổn định nhờ được bảo đảm bằng trái phiếu ngắn hạn của Mỹ. Hacker đã cố tình đẩy tỷ giá của wUSDM từ 1,06 lên 1,7, làm cho nó trông có giá trị cao hơn thực tế.

Tiếp theo, hacker dùng hai tài khoản để tự “thanh lý” – tức giả vờ bán tài sản của chính mình – trên Venus Protocol, một nền tảng cho vay khác. Dù Venus nhanh chóng khóa giao dịch để ngăn chặn, hacker vẫn bỏ túi khoảng 200.000 USD lợi nhuận. Trong khi đó, Venus chịu thiệt hại hơn 716.000 USD, theo báo cáo phân tích từ Chaos Labs, một công ty chuyên về quản lý rủi ro.

Yoni Keselbrener, trưởng bộ phận DeFi tại Lightblocks Labs, chia sẻ với tờ The Block: “Cả hai đội ngũ đã kịp thời ứng phó bằng cách khóa thị trường, điều chỉnh các quy tắc rủi ro và đưa tỷ giá về mức bình thường.” Keselbrener là người đóng góp cho eOracle, một hệ thống cung cấp dữ liệu thực tế cho các ứng dụng phi tập trung trên Ethereum.

Vault ERC-4626, ra mắt từ tháng 5/2022, là tiêu chuẩn để tạo ra các kho lưu trữ tiền điện tử. Tuy nhiên, báo cáo của Chaos Labs chỉ ra rằng tiêu chuẩn này “không có biện pháp bảo vệ khi tỷ giá bị thay đổi bất thường trong các nền tảng cho vay.”

Tháng 1/2024, Euler Finance đã công bố nghiên cứu cảnh báo rằng hầu hết các vault ERC-4626 không có cơ chế an toàn để ngăn chặn việc thao túng tỷ giá. Họ cho rằng cần kết hợp nhiều biện pháp bảo vệ để hiệu quả hơn.

Chaos Labs cũng nhận định vụ tấn công có thể tránh được nếu áp dụng các biện pháp như: “Hợp đồng wUSDM nên dùng hệ thống kiểm tra tỷ giá từ nhiều nguồn khác nhau. Hoặc nếu Venus được cảnh báo sớm, họ có thể giới hạn việc tỷ giá tăng bất thường.” Để tránh tái diễn, Aave dự kiến áp dụng cơ chế CAPO – một công cụ giới hạn tăng giá giả tạo – cho tất cả các loại tiền điện tử có lợi nhuận, ngăn chặn hacker tạo ra lợi nhuận ảo.

Tài khoản X của Curve Finance bình luận: “Lỗ hổng này không chỉ xảy ra với vault đạt chuẩn mà với mọi loại vault. Đây là sai lầm thường thấy ở các nền tảng cho vay.”

Keselbrener nhận xét: “Cơ chế CAPO rất hiệu quả, nhưng đòi hỏi thêm mã lập trình phức tạp và cần được theo dõi liên tục. Chúng ta phải đảm bảo nó không cản trở lợi nhuận hợp lệ mà vẫn ngăn được hacker.” Ông nói thêm: “Khi DeFi ngày càng phức tạp, chúng ta không thể chỉ dựa vào dữ liệu giá đơn giản. Cần hiểu rõ rủi ro của từng loại tiền điện tử. Hệ thống kiểm tra giá từ nhiều nguồn không phải là nhược điểm, mà là lớp bảo vệ quan trọng. Các nhà cung cấp oracle chuyên dụng có thể thiết kế biện pháp phát hiện và ngăn chặn những vụ tấn công như thế này.”

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

• Thái Lan chấp thuận USDT và USDC, mở rộng giao dịch tiền điện tử
• Cơ quan quản lý tài chính California cảnh báo về 7 loại lừa đảo tiền điện tử và AI mới
• Microsoft phát hiện trojan StilachiRAT tấn công ví tiền điện tử trên Google Chrome từ xa

Thạch Sanh