Tấn công DeFi gần đây phơi bày lỗ hổng trong tiêu chuẩn vault ERC-4626

Updated: 31/03/2025 at 16:00

Một vụ tấn công gần đây trong lĩnh vực DeFi – đã cho thấy những điểm yếu trong hệ thống lưu trữ tiền điện tử, cụ thể là vault ERC-4626. Hacker đã lợi dụng công cụ quen thuộc gọi là flash loan (khoản vay nhanh, mượn và trả ngay trong giây lát) để làm sai lệch tỷ giá và đánh lừa hệ thống định giá, hay còn gọi là oracle.

Vào ngày 27/2, một hacker đã thực hiện cái gọi là “tấn công quyên góp” bằng cách vay khoảng 4 triệu USD từ Aave – một nền tảng cho vay tiền điện tử. Mục tiêu là token wUSDM, thuộc hệ thống vault ERC-4626 của Mountain Protocol. Đây là một loại tiền điện tử có lợi nhuận, được liên kết với stablecoin USDM – tiền điện tử có giá trị ổn định nhờ được bảo đảm bằng trái phiếu ngắn hạn của Mỹ. Hacker đã cố tình đẩy tỷ giá của wUSDM từ 1,06 lên 1,7, làm cho nó trông có giá trị cao hơn thực tế.

Tiếp theo, hacker dùng hai tài khoản để tự “thanh lý” – tức giả vờ bán tài sản của chính mình – trên Venus Protocol, một nền tảng cho vay khác. Dù Venus nhanh chóng khóa giao dịch để ngăn chặn, hacker vẫn bỏ túi khoảng 200.000 USD lợi nhuận. Trong khi đó, Venus chịu thiệt hại hơn 716.000 USD, theo báo cáo phân tích từ Chaos Labs, một công ty chuyên về quản lý rủi ro.

Yoni Keselbrener, trưởng bộ phận DeFi tại Lightblocks Labs, chia sẻ với tờ The Block: “Cả hai đội ngũ đã kịp thời ứng phó bằng cách khóa thị trường, điều chỉnh các quy tắc rủi ro và đưa tỷ giá về mức bình thường.” Keselbrener là người đóng góp cho eOracle, một hệ thống cung cấp dữ liệu thực tế cho các ứng dụng phi tập trung trên Ethereum.

Vault ERC-4626, ra mắt từ tháng 5/2022, là tiêu chuẩn để tạo ra các kho lưu trữ tiền điện tử. Tuy nhiên, báo cáo của Chaos Labs chỉ ra rằng tiêu chuẩn này “không có biện pháp bảo vệ khi tỷ giá bị thay đổi bất thường trong các nền tảng cho vay.”

Tháng 1/2024, Euler Finance đã công bố nghiên cứu cảnh báo rằng hầu hết các vault ERC-4626 không có cơ chế an toàn để ngăn chặn việc thao túng tỷ giá. Họ cho rằng cần kết hợp nhiều biện pháp bảo vệ để hiệu quả hơn.

Chaos Labs cũng nhận định vụ tấn công có thể tránh được nếu áp dụng các biện pháp như: “Hợp đồng wUSDM nên dùng hệ thống kiểm tra tỷ giá từ nhiều nguồn khác nhau. Hoặc nếu Venus được cảnh báo sớm, họ có thể giới hạn việc tỷ giá tăng bất thường.” Để tránh tái diễn, Aave dự kiến áp dụng cơ chế CAPO – một công cụ giới hạn tăng giá giả tạo – cho tất cả các loại tiền điện tử có lợi nhuận, ngăn chặn hacker tạo ra lợi nhuận ảo.

Tài khoản X của Curve Finance bình luận: “Lỗ hổng này không chỉ xảy ra với vault đạt chuẩn mà với mọi loại vault. Đây là sai lầm thường thấy ở các nền tảng cho vay.”

Keselbrener nhận xét: “Cơ chế CAPO rất hiệu quả, nhưng đòi hỏi thêm mã lập trình phức tạp và cần được theo dõi liên tục. Chúng ta phải đảm bảo nó không cản trở lợi nhuận hợp lệ mà vẫn ngăn được hacker.” Ông nói thêm: “Khi DeFi ngày càng phức tạp, chúng ta không thể chỉ dựa vào dữ liệu giá đơn giản. Cần hiểu rõ rủi ro của từng loại tiền điện tử. Hệ thống kiểm tra giá từ nhiều nguồn không phải là nhược điểm, mà là lớp bảo vệ quan trọng. Các nhà cung cấp oracle chuyên dụng có thể thiết kế biện pháp phát hiện và ngăn chặn những vụ tấn công như thế này.”

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

Thạch Sanh

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Trong bối cảnh căng thẳng địa chính trị vẫn đang diễn ra, Dogecoin (DOGE) cho thấy mức độ biến động rất cao. Theo biểu đồ hàng ngày, memecoin này gần đây đã ghi nhận mức tăng giá hơn 7%, nhưng hiện đang sụt giảm và có khả năng tiếp tục đà... ...

Shiba Inu – meme coin hàng đầu thị trường – đang phát đi những tín hiệu đầu tiên của một đợt đảo chiều tăng giá sau khi hứng chịu làn sóng bán tháo dữ dội. Trong bối cảnh tâm lý ưa rủi ro đang dần trở lại với thị trường... ...

Avalanche (AVAX) hoạt động trong xu hướng giảm kể từ ngày 11/6. Giá đã giảm 26% chỉ trong chưa đầy hai tuần, nhưng bắt đầu phục hồi vào thứ 2 với mức tăng 9,26%. Gần đây, có báo cáo cho thấy các nhà đầu tư tiền thông minh đang có... ...

Stacks (STX) tiếp tục khẳng định đà phục hồi với phiên tăng thứ ba liên tiếp, ghi nhận mức bật tăng ấn tượng 10% trong ngày tính đến thời điểm viết bài vào thứ Tư. Động lực chính có thể đến từ đề xuất cải tiến SIP-031 – kế hoạch... ...

Giá Bitcoin (BTC) tiếp tục duy trì sắc xanh trong phiên giao dịch thứ Tư, nối dài đà tăng ấn tượng 5% trong hai ngày trước đó. Theo sau đà hồi phục của BTC, Ethereum (ETH) và Ripple (XRP) cũng bật tăng mạnh mẽ, áp sát các ngưỡng kháng cự... ...

Thị trường tài chính toàn cầu thở phào nhẹ nhõm khi có thông tin rằng cuộc xung đột giữa Israel và Iran sắp kết thúc. Tổng thống Hoa Kỳ – Donald Trump tuyên bố rằng ông đã dàn xếp lệnh ngừng bắn, chỉ 48 giờ sau khi tấn công Iran.... ...

Giá Bitcoin đã bật tăng trở lại vượt mốc 106.000 đô la vào thứ 2, phục hồi sau đợt sụt giảm mạnh vào cuối tuần khiến giá tạm thời rơi xuống dưới ngưỡng quan trọng 100.000 đô la. Đợt phục hồi này diễn ra trong bối cảnh căng thẳng địa... ...

Tổng vốn hóa thị trường tiền điện tử đang “nhuộm xanh” trên biểu đồ hàng ngày, cho thấy đà phục hồi tích cực và đóng vai trò quan trọng trong việc giúp Bitcoin (BTC) duy trì ổn định trên mốc $105.000. Hòa theo nhịp tăng này, Sei (SEI) đã bật... ...

Một tin đồn gần đây liên quan đến vụ kiện giữa Ripple (XRP) và Ủy ban Giao dịch và Chứng khoán Hoa Kỳ (SEC) đang lan truyền, cho rằng cuộc chiến pháp lý này có thể kéo dài đến tận năm 2026. Tuy nhiên, các yếu tố pháp lý cùng... ...

Metaplanet, một công ty đầu tư Nhật Bản, đang thực hiện một bước chuyển mình táo bạo hướng tới Bitcoin, đã huy động thành công hơn 517 triệu USD trong ngày đầu tiên của kế hoạch “555 Million Plan.” Điều này cho thấy động lực mạnh mẽ ban đầu đằng... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode