Các cuộc tấn công cho vay flash trên DeFi sẽ tồi tệ hơn

Sergey Nazarov giải thích cách các nền tảng DeFi đang được khai thác hàng triệu đô la — và những gì cần phải thay đổi để tránh điều đó.

Tóm tắt

  • Người đồng sáng lập Chainlink, Sergey Nazarov, đã giải thích cách thức hoạt động của các cuộc tấn công cho vay flash trong DeFi.
  • Nhiều dự án bỏ qua phạm vi bao phủ dữ liệu giá của họ để tiết kiệm thời gian phát triển.
  • Điều này dẫn đến các lỗ hổng nghiêm trọng và mở ra các nền tảng DeFi cho các cuộc tấn công.

Trong những tháng qua, một số nền tảng tài chính phi tập trung ( DeFi ) của Ethereum đã trở thành nạn nhân của cái gọi là “ các cuộc tấn công cho vay flash ”, cho phép những kẻ xấu hút hàng chục triệu đô la tiền điện tử . 

Tuy nhiên, những gì chúng ta thấy cho đến nay chỉ là phiên bản đơn giản nhất của những lần xâm nhập như vậy, Sergey Nazarov, đồng sáng lập của mạng lưới tiên tri Chainlink, giải thích .

Theo Nazarov, điểm nghẽn lớn nhất của nhiều dự án DeFi là cơ chế phát hiện giá của chúng. Cụ thể là, các kỳ tích về giá — các ứng dụng cho phép hợp đồng thông minh tương tác với dữ liệu bên ngoài — thường sử dụng một hoặc chỉ một vài sàn giao dịch phi tập trung on-chain(DEX) làm nguồn của chúng.

“Bản chất thực sự của cuộc tấn công là có một nhà cung cấp dữ liệu giá duy nhất, có một sàn giao dịch duy nhất. 

Về cơ bản, trong các trường hợp mà chúng ta đang thấy trong DeFi bây giờ, vì lợi ích của sự dễ dàng và tốc độ phát triển, đã có một số trường hợp mọi người đã sử dụng các sàn giao dịch phi tập trung on-chain và cơ sở hạ tầng hoán đổi on-chain để truy xuất mức giá kích hoạt ứng dụng DeFi của họ”.

Tuy nhiên, kẻ tấn công phải có một nguồn vốn lớn để thao túng giá ngay cả trên một sàn giao dịch — và đây là lúc các khoản vay flash DeFi phát huy tác dụng.

Những cơ chế này cho phép bất kỳ ai có dù chỉ một lượng nhỏ tài sản cũng có thể được vốn hóa tốt trong một khoảng thời gian ngắn.

Bằng cách này, những kẻ tấn công có thể thao túng giá của các mã thông báo trong kho dự án bằng cách làm lệch dữ liệu được cung cấp bởi của nền tảng — và trên DEX, nó lấy nguồn dữ liệu này từ đó.

Sau đó, những kẻ tấn công có thể nhanh chóng mua các mã thông báo đã được mã hóa mạnh và hoàn trả khoản vay nhanh chóng sau đó. Điều làm cho các cuộc tấn công này trở nên dễ dàng và nguy hiểm hơn là chúng thậm chí không đòi hỏi nhiều kiến ​​thức kỹ thuật.

“Tất cả những gì ai đó phải làm là thao túng sổ đặt hàng của một sàn giao dịch, có nghĩa là họ thậm chí không cần biết cách code.

Những cuộc tấn công này thậm chí không thực sự yêu cầu mọi người phải rất giỏi về phát triển phần mềm hoặc hack hay bất cứ thứ gì. Họ chỉ yêu cầu mọi người có đủ tiền để thao túng giá trên một sàn giao dịch duy nhất mà mọi người nghĩ rằng sẽ an toàn.

Điều tồi tệ hơn là việc tìm nguồn cung cấp dữ liệu của họ ngay cả từ hai hoặc năm sàn giao dịch trực tuyến, chẳng hạn, sẽ không bảo vệ nền tảng DeFi chống lại các cuộc tấn công cho vay flash.

Nazarov cảnh báo rằng việc khai thác như vậy sẽ trở nên phức tạp hơn và tốn kém hơn – nhưng vẫn hoàn toàn khả thi.

“Bởi vì phiên bản tiếp theo, tinh vi hơn của cuộc tấn công này không phải là“ Tôi thao túng một oracle về giá duy nhất ”, mà là“ Tất cả những gì tôi cần làm là thao túng hai hoặc ba sàn giao dịch và tôi thao túng giá, ”.

“Và thay vì thao túng một sàn giao dịch, rõ ràng là dễ dàng hơn, phiên bản nâng cao hơn của cuộc tấn công này là thao túng hai, ba hoặc bốn sàn giao dịch mà giao thức DeFi dựa vào để lấy dữ liệu giá của họ. Và chúng tôi hoàn toàn biết điều đó có thể xảy ra bởi vì chúng tôi xem xét dữ liệu giá hàng ngày ”.

Để chống lại các cuộc tấn công như vậy, các nền tảng DeFi phải mở rộng đáng kể phạm vi dữ liệu giá mà họ đang thu thập, Nazarov giải thích. 

Bằng cách này, ai đó sẽ có thể thao túng giá của một tài sản chỉ bằng cách thực sự làm lệch giá toàn cầu của nó — đó là giá “thực” tại thời điểm đó — và các giao thức DeFi ít nhất sẽ phản ánh thực tế trong trường hợp này.

“Và một lần nữa, [các cuộc tấn công phức tạp hơn] là điều không may sẽ xảy đến, và hệ thống của chúng tôi đã được cấu trúc để có thể chống lại hoàn toàn ngay từ đầu bằng cách tìm nguồn dữ liệu từ hàng trăm sàn giao dịch, tạo ra phạm vi thị trường một cách hiệu quả,” Nazarov lưu ý.

Ông nói thêm rằng các cuộc tấn công cho vay flash là điều mà Chainlink lo ngại vào năm 2018 và hiện đang diễn ra “khá chính xác từng bước theo cách mà chúng tôi đã dự đoán”.

Để tránh những khai thác này, các nền tảng DeFi “không muốn sử dụng một sàn giao dịch duy nhất cho một kỳ tích giá”.

Những ngày này, hacker đang rút trung bình 10 triệu đô la mỗi tháng từ DeFi, vì vậy có lẽ đã đến lúc thực sự cần phải xem xét kỹ lưỡng về tính bảo mật “ứng dụng sát thủ” của Ethereum

Saigontradecoin/decrypto

Hãy tham gia các nhóm công đồng của chúng tôi tại:


Bài viết mới nhất

Thái Lan bắt buộc đặt cảnh báo rủi ro trên quảng cáo tiền điện tử

Các quảng cáo tiền điện tử ở Thái Lan phải chỉ ra những rủi ro tiềm ẩn khi đầu tư vào loại tài sản...

Fed Powell: Cuộc chiến chống lạm phát vẫn chưa kết thúc

Chủ tịch ngân hàng trung ương Hoa Kỳ, trong một bài phát biểu sáng thứ Sáu, đã nhấn mạnh hơn nữa ý định tăng...

Morgan Stanley cho biết việc thắt chặt thị trường tiền điện tử đã tạm dừng

Trong khi vốn hóa thị trường của stablecoin, một chỉ báo về tính thanh khoản của tiền điện tử, đã ngừng giảm, nhu cầu...

BitGo kiện Galaxy Digital vì bỏ thương vụ sáp nhật 1,2 tỷ đô

BitGo cho biết Galaxy nợ họ 100 triệu đô la phí "hủy kèo" Công ty lưu ký tiền điện tử BitGo cho biết hôm thứ...