Tấn công DeFi gần đây phơi bày lỗ hổng trong tiêu chuẩn vault ERC-4626

Updated: 31/03/2025 at 16:00

Một vụ tấn công gần đây trong lĩnh vực DeFi – đã cho thấy những điểm yếu trong hệ thống lưu trữ tiền điện tử, cụ thể là vault ERC-4626. Hacker đã lợi dụng công cụ quen thuộc gọi là flash loan (khoản vay nhanh, mượn và trả ngay trong giây lát) để làm sai lệch tỷ giá và đánh lừa hệ thống định giá, hay còn gọi là oracle.

Vào ngày 27/2, một hacker đã thực hiện cái gọi là “tấn công quyên góp” bằng cách vay khoảng 4 triệu USD từ Aave – một nền tảng cho vay tiền điện tử. Mục tiêu là token wUSDM, thuộc hệ thống vault ERC-4626 của Mountain Protocol. Đây là một loại tiền điện tử có lợi nhuận, được liên kết với stablecoin USDM – tiền điện tử có giá trị ổn định nhờ được bảo đảm bằng trái phiếu ngắn hạn của Mỹ. Hacker đã cố tình đẩy tỷ giá của wUSDM từ 1,06 lên 1,7, làm cho nó trông có giá trị cao hơn thực tế.

Tiếp theo, hacker dùng hai tài khoản để tự “thanh lý” – tức giả vờ bán tài sản của chính mình – trên Venus Protocol, một nền tảng cho vay khác. Dù Venus nhanh chóng khóa giao dịch để ngăn chặn, hacker vẫn bỏ túi khoảng 200.000 USD lợi nhuận. Trong khi đó, Venus chịu thiệt hại hơn 716.000 USD, theo báo cáo phân tích từ Chaos Labs, một công ty chuyên về quản lý rủi ro.

Yoni Keselbrener, trưởng bộ phận DeFi tại Lightblocks Labs, chia sẻ với tờ The Block: “Cả hai đội ngũ đã kịp thời ứng phó bằng cách khóa thị trường, điều chỉnh các quy tắc rủi ro và đưa tỷ giá về mức bình thường.” Keselbrener là người đóng góp cho eOracle, một hệ thống cung cấp dữ liệu thực tế cho các ứng dụng phi tập trung trên Ethereum.

Vault ERC-4626, ra mắt từ tháng 5/2022, là tiêu chuẩn để tạo ra các kho lưu trữ tiền điện tử. Tuy nhiên, báo cáo của Chaos Labs chỉ ra rằng tiêu chuẩn này “không có biện pháp bảo vệ khi tỷ giá bị thay đổi bất thường trong các nền tảng cho vay.”

Tháng 1/2024, Euler Finance đã công bố nghiên cứu cảnh báo rằng hầu hết các vault ERC-4626 không có cơ chế an toàn để ngăn chặn việc thao túng tỷ giá. Họ cho rằng cần kết hợp nhiều biện pháp bảo vệ để hiệu quả hơn.

Chaos Labs cũng nhận định vụ tấn công có thể tránh được nếu áp dụng các biện pháp như: “Hợp đồng wUSDM nên dùng hệ thống kiểm tra tỷ giá từ nhiều nguồn khác nhau. Hoặc nếu Venus được cảnh báo sớm, họ có thể giới hạn việc tỷ giá tăng bất thường.” Để tránh tái diễn, Aave dự kiến áp dụng cơ chế CAPO – một công cụ giới hạn tăng giá giả tạo – cho tất cả các loại tiền điện tử có lợi nhuận, ngăn chặn hacker tạo ra lợi nhuận ảo.

Tài khoản X của Curve Finance bình luận: “Lỗ hổng này không chỉ xảy ra với vault đạt chuẩn mà với mọi loại vault. Đây là sai lầm thường thấy ở các nền tảng cho vay.”

Keselbrener nhận xét: “Cơ chế CAPO rất hiệu quả, nhưng đòi hỏi thêm mã lập trình phức tạp và cần được theo dõi liên tục. Chúng ta phải đảm bảo nó không cản trở lợi nhuận hợp lệ mà vẫn ngăn được hacker.” Ông nói thêm: “Khi DeFi ngày càng phức tạp, chúng ta không thể chỉ dựa vào dữ liệu giá đơn giản. Cần hiểu rõ rủi ro của từng loại tiền điện tử. Hệ thống kiểm tra giá từ nhiều nguồn không phải là nhược điểm, mà là lớp bảo vệ quan trọng. Các nhà cung cấp oracle chuyên dụng có thể thiết kế biện pháp phát hiện và ngăn chặn những vụ tấn công như thế này.”

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

Thạch Sanh

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Nhân dịp kỷ niệm 10 năm thành lập, công ty blockchain Consensys đã đưa ra một góc nhìn mới mẻ về vai trò của Ethereum trong nền kinh tế toàn cầu, coi đây là một cơ sở hạ tầng thiết yếu cho thời đại “trustware”. Theo Consensys, Ethereum không chỉ... ...

Giá Dogecoin (DOGE) đã lấy lại đà tăng mới sau khi vượt qua vùng kháng cự quan trọng quanh mốc 0,2 đô la, thu hút sự quan tâm từ các trader và nhà phân tích. Động thái này diễn ra sau mô hình breakout kỹ thuật và mô hình nến... ...

Cộng đồng World Liberty Financial đã chính thức phê duyệt một đề xuất quản trị nhằm cho phép token WLFI trở thành tài sản có thể giao dịch. Điều này đánh dấu bước khởi đầu cho việc thực hiện các chuyển nhượng và mở rộng quyền truy cập vào thị... ...

Tổng vốn hóa thị trường tiền điện tử (TOTAL) và Bitcoin (BTC) tiếp tục duy trì đà tăng ấn tượng trong tuần qua, với việc BTC vừa thiết lập mức đỉnh lịch sử mới. Trong nhóm altcoin, Hedera (HBAR) là cái tên nổi bật nhất khi dẫn đầu đà tăng,... ...

Token của Ripple có thể là tài sản hấp dẫn nhất trên thị trường crypto. Thường bị bỏ qua vì thiếu các ứng dụng rõ ràng, nó đã âm thầm vươn lên trở thành dự án lớn thứ ba tính theo vốn hóa thị trường, hiện đạt 168 tỷ USD.... ...

Thị trường phái sinh của Ethereum (ETH) đang cho thấy những dấu hiệu rõ ràng của tình trạng đầu cơ quá mức, với các tỷ lệ đòn bẩy, hợp đồng mở (OI) và funding rate đều gia tăng. Trong 30 ngày qua, ETH đã tăng hơn 24%, kéo theo sự... ...

Hedera (HBAR) lại một lần nữa áp sát ngưỡng kháng cự quan trọng tại mốc $0,26 — vùng giá từng châm ngòi cho cú lao dốc hơn 50% hồi đầu năm nay. Tính đến thời điểm hiện tại, HBAR đang giao dịch quanh mức $0,237, ghi nhận mức tăng nhẹ... ...

Công ty công nghệ sinh học được niêm yết trên Nasdaq, Sonnet BioTherapeutics, cho biết vào hôm thứ Hai rằng họ đã thành lập công ty hợp nhất kinh doanh với một thực thể mới thành lập, Rorschach, để ra mắt kho tài sản kỹ thuật số Hyperliquid (HYPE). Khi... ...

Liquid Collective vừa ra mắt token staking thanh khoản mới mang tên Liquid Staked SOL (LsSOL) trên mạng Solana (SOL), đánh dấu bước tiến quan trọng trong chiến lược mở rộng hệ sinh thái. Sáng kiến này được triển khai với sự hậu thuẫn của hàng loạt ông lớn trong... ...

Chainlink (LINK) đang mở rộng xu hướng tăng, hình thành cấu trúc tăng giá rõ ràng khi tiến gần đến ngưỡng kháng cự quan trọng tại 17,39 đô la. Sau khi giành lại vùng giữa phạm vi tại 15,9 đô la, LINK đã liên tục tạo ra các đáy và... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode