Value DeFi, giao thức tài chính phi tập trung yield farming (canh tác lợi nhuận) đã mất 6 triệu đô la vào thứ 7 tuần trước sau khi bị hacker khai thác lỗ hổng bằng oracle giá tập trung, chưa được kiểm toán. Hôm qua, Value DeFi đã tích hợp mạng oracle phi tập trung Chainlink.
Value DeFi bị hack một ngày sau khi ra mắt MultiStables Vault, là dự án tài chính mới được thiết kế để chuyển tiền của các nhà đầu tư sang nhiều giao thức DeFi khác nhau nhằm tối đa hóa lợi nhuận.
Ai đó đã thao túng giá token tại một trong các kho tiền thông qua khoản vay nhanh (flash loan) được phát hành từ giao thức cho vay Aave và sau đó mua các token này ở mức giá chiết khấu.
Vụ tấn công sử dụng nguồn cấp dữ liệu giá tập trung để xác nhận giá trong kho tiền – khiến nó dễ bị thao túng. Vì vậy, nhóm nghiên cứu đã quyết định phân cấp oracle để ngăn điều này xảy ra một lần nữa. Họ đã chọn Chainlink.
Theo dòng tweet vào ngày 19/11 của Value DeFi Protocol:
“Value DeFi và Chainlink thiết lập quan hệ hợp tác chiến lược”.
“Sau nhiều cuộc thảo luận tập trung và cân nhắc các tùy chọn, chúng tôi nhận thấy Chainlink là giải pháp oracle tốt nhất, cung cấp giải pháp oracle giá đủ mạnh và chống giả mạo, có khả năng hạn chế tấn công cho vay nhanh”. Value DeFi cho biết trong bài đăng trên blog của mình.
Điểm cốt lõi là nguồn cấp dữ liệu của Chainlink là phi tập trung, tức là thông tin được xác minh bởi các nhóm khác nhau của các công ty bảo mật tiền điện tử. Vì vậy, rất khó để mọi người làm giả thông tin.
Sergey Nazarov, người sáng lập Chainlink, nhận định vấn đề không nằm ở các khoản vay nhanh, mà thường là những kẻ xấu khai thác các khoản vay đó. Các khoản vay nhanh cho phép người dùng vay nhiều tiền điện tử, miễn là người đi vay có thể trả lại tất cả số tiền trong một giao dịch (khoảng thời gian là 20 tới 30 giây).
“Cốt lõi vấn đề là bảo mật oracle giá. Bất kỳ tác nhân nào có vốn hùng hậu đều có khả năng thực hiện kiểu khai thác oracle giá này. Tất cả những gì một khoản vay nhanh có thể làm là khiến bất kỳ ai cũng có thể trở thành một tác nhân có vốn lớn”, anh nói.
Trong tháng qua, một số giao thức DeFi khác đã là nạn nhân của các cuộc tấn công oracle dựa trên khoản vay nhanh: Harvest Finance mất 34 triệu USD, Cheese Bank 3,3 triệu USD, Akropolis 2 triệu USD và Origin Protocol mất 7 triệu USD.
Nazarov cảnh báo:
“Các nhóm tạo ra sản phẩm tài chính DeFi cần phải xem xét bảo mật oracle một cách nghiêm túc như kiểm toán các hợp đồng thông minh”.
Trong DeFi, hợp đồng thông minh là các đoạn code cho phép các giao thức giao tiếp với nhau theo cách không cần niềm tin. Điều tồi tệ có thể xảy ra nếu chúng không được kiểm toán.
Nazarov nói rằng các cuộc tấn công oracle sẽ “chỉ tăng lên khi giá trị trong DeFi tiếp tục tăng”.
- Chủ tịch SEC: Bitcoin sẽ phải đối mặt với nhiều quy định hơn như là phương thức thanh toán
- Axie Infinity tích hợp Oracle của Chainlink
- Hacker đã trả lại $50k trong cuộc tấn công Value DeFi trị giá 5 triệu đô la sau khi thấy “cắn rứt lương tâm”
Thùy Trang
Theo Decrypt
