Các cuộc tấn công cho vay flash trên DeFi sẽ tồi tệ hơn

spot_img

Sergey Nazarov giải thích cách các nền tảng DeFi đang được khai thác hàng triệu đô la — và những gì cần phải thay đổi để tránh điều đó.

Tóm tắt

  • Người đồng sáng lập Chainlink, Sergey Nazarov, đã giải thích cách thức hoạt động của các cuộc tấn công cho vay flash trong DeFi.
  • Nhiều dự án bỏ qua phạm vi bao phủ dữ liệu giá của họ để tiết kiệm thời gian phát triển.
  • Điều này dẫn đến các lỗ hổng nghiêm trọng và mở ra các nền tảng DeFi cho các cuộc tấn công.

Trong những tháng qua, một số nền tảng tài chính phi tập trung ( DeFi ) của Ethereum đã trở thành nạn nhân của cái gọi là “ các cuộc tấn công cho vay flash ”, cho phép những kẻ xấu hút hàng chục triệu đô la tiền điện tử . 

Tuy nhiên, những gì chúng ta thấy cho đến nay chỉ là phiên bản đơn giản nhất của những lần xâm nhập như vậy, Sergey Nazarov, đồng sáng lập của mạng lưới tiên tri Chainlink, giải thích .

Theo Nazarov, điểm nghẽn lớn nhất của nhiều dự án DeFi là cơ chế phát hiện giá của chúng. Cụ thể là, các kỳ tích về giá — các ứng dụng cho phép hợp đồng thông minh tương tác với dữ liệu bên ngoài — thường sử dụng một hoặc chỉ một vài sàn giao dịch phi tập trung on-chain(DEX) làm nguồn của chúng.

“Bản chất thực sự của cuộc tấn công là có một nhà cung cấp dữ liệu giá duy nhất, có một sàn giao dịch duy nhất. 

Về cơ bản, trong các trường hợp mà chúng ta đang thấy trong DeFi bây giờ, vì lợi ích của sự dễ dàng và tốc độ phát triển, đã có một số trường hợp mọi người đã sử dụng các sàn giao dịch phi tập trung on-chain và cơ sở hạ tầng hoán đổi on-chain để truy xuất mức giá kích hoạt ứng dụng DeFi của họ”.

Tuy nhiên, kẻ tấn công phải có một nguồn vốn lớn để thao túng giá ngay cả trên một sàn giao dịch — và đây là lúc các khoản vay flash DeFi phát huy tác dụng.

Những cơ chế này cho phép bất kỳ ai có dù chỉ một lượng nhỏ tài sản cũng có thể được vốn hóa tốt trong một khoảng thời gian ngắn.

Bằng cách này, những kẻ tấn công có thể thao túng giá của các mã thông báo trong kho dự án bằng cách làm lệch dữ liệu được cung cấp bởi của nền tảng — và trên DEX, nó lấy nguồn dữ liệu này từ đó.

Sau đó, những kẻ tấn công có thể nhanh chóng mua các mã thông báo đã được mã hóa mạnh và hoàn trả khoản vay nhanh chóng sau đó. Điều làm cho các cuộc tấn công này trở nên dễ dàng và nguy hiểm hơn là chúng thậm chí không đòi hỏi nhiều kiến ​​thức kỹ thuật.

“Tất cả những gì ai đó phải làm là thao túng sổ đặt hàng của một sàn giao dịch, có nghĩa là họ thậm chí không cần biết cách code.

Những cuộc tấn công này thậm chí không thực sự yêu cầu mọi người phải rất giỏi về phát triển phần mềm hoặc hack hay bất cứ thứ gì. Họ chỉ yêu cầu mọi người có đủ tiền để thao túng giá trên một sàn giao dịch duy nhất mà mọi người nghĩ rằng sẽ an toàn.

Điều tồi tệ hơn là việc tìm nguồn cung cấp dữ liệu của họ ngay cả từ hai hoặc năm sàn giao dịch trực tuyến, chẳng hạn, sẽ không bảo vệ nền tảng DeFi chống lại các cuộc tấn công cho vay flash.

Nazarov cảnh báo rằng việc khai thác như vậy sẽ trở nên phức tạp hơn và tốn kém hơn – nhưng vẫn hoàn toàn khả thi.

“Bởi vì phiên bản tiếp theo, tinh vi hơn của cuộc tấn công này không phải là“ Tôi thao túng một oracle về giá duy nhất ”, mà là“ Tất cả những gì tôi cần làm là thao túng hai hoặc ba sàn giao dịch và tôi thao túng giá, ”.

“Và thay vì thao túng một sàn giao dịch, rõ ràng là dễ dàng hơn, phiên bản nâng cao hơn của cuộc tấn công này là thao túng hai, ba hoặc bốn sàn giao dịch mà giao thức DeFi dựa vào để lấy dữ liệu giá của họ. Và chúng tôi hoàn toàn biết điều đó có thể xảy ra bởi vì chúng tôi xem xét dữ liệu giá hàng ngày ”.

Để chống lại các cuộc tấn công như vậy, các nền tảng DeFi phải mở rộng đáng kể phạm vi dữ liệu giá mà họ đang thu thập, Nazarov giải thích. 

Bằng cách này, ai đó sẽ có thể thao túng giá của một tài sản chỉ bằng cách thực sự làm lệch giá toàn cầu của nó — đó là giá “thực” tại thời điểm đó — và các giao thức DeFi ít nhất sẽ phản ánh thực tế trong trường hợp này.

“Và một lần nữa, [các cuộc tấn công phức tạp hơn] là điều không may sẽ xảy đến, và hệ thống của chúng tôi đã được cấu trúc để có thể chống lại hoàn toàn ngay từ đầu bằng cách tìm nguồn dữ liệu từ hàng trăm sàn giao dịch, tạo ra phạm vi thị trường một cách hiệu quả,” Nazarov lưu ý.

Ông nói thêm rằng các cuộc tấn công cho vay flash là điều mà Chainlink lo ngại vào năm 2018 và hiện đang diễn ra “khá chính xác từng bước theo cách mà chúng tôi đã dự đoán”.

Để tránh những khai thác này, các nền tảng DeFi “không muốn sử dụng một sàn giao dịch duy nhất cho một kỳ tích giá”.

Những ngày này, hacker đang rút trung bình 10 triệu đô la mỗi tháng từ DeFi, vì vậy có lẽ đã đến lúc thực sự cần phải xem xét kỹ lưỡng về tính bảo mật “ứng dụng sát thủ” của Ethereum

Saigontradecoin/decrypto

Hãy tham gia các nhóm công đồng của chúng tôi tại:


Thêm tin tức từ luồng này

Đề xuất

Thị phần Binance sụt giảm mạnh, trở lại mức 2020 trong tháng 9.

Thị phần của Binance đã trở lại mức của năm 2020. Trong tháng...

Ripple Labs đối đầu SEC: Bảo vệ XRP không phải chứng khoán.

Ripple Labs sẽ phản đối đơn kháng cáo của Ủy ban Chứng khoán...

Chiliz ra mắt Memecoin “Pepper”: Thị trường Token người hâm mộ lớn hơn NFT.

Alexandre Dreyfus, CEO của Chiliz, đã nhấn mạnh rằng thị trường token người...

Ưu đãi fiat mới cùng Bitget: Mua/nạp để tiết kiệm đến 60% và nhận phần thưởng!

Trở thành người dùng mới bằng cách sử dụng thẻ tín dụng/ghi nợ,...

Mua EIGEN bằng thẻ tín dụng/thẻ ghi nợ miễn phí.

Người dùng hiện có thể mua EIGEN bằng các loại tiền fiat sau...

Nạp P2P để chia sẻ 200,000 USDT với Bitget

Quy Tắc Phần thưởng trong thời gian giới hạn dành riêng cho người dùng...

Lễ hội giao dịch Bot: Giao dịch EIGEN, CATI, TON, MOODENG và chia sẻ 50,000 USDT

Đăng ký ngay để chạy bot giao dịch spot EIGEN, CATI, TON hoặc...

Scroll (SCR): Ranh giới mới cho sự mở rộng của Ethereum

Scroll (SCR) là gì?   Scroll (SCR) là một giải pháp mở rộng zkRollup cho...

DeBox (BOX): Nền tảng Web3 Định Hình Lại Danh Tính Kỹ Thuật Số

Giới thiệu về DeBox (BOX) DeBox (BOX) là một nền tảng xã hội tiên...

Quy định của Binance tại Argentina: Bước tiến cho BNB hay thách thức mới?

Chiến thắng của Binance tại Argentina có thể ảnh hưởng đến việc giữ...