Các cuộc tấn công cho vay nhanh gây thiệt hại 34 triệu đô la, nhưng liệu chúng có thể được ngăn chặn?

OKEx Insights ‘DeFi Digest là cuộc kiểm tra hàng tuần về ngành tài chính phi tập trung.

Thị trường tài chính phi tập trung đã giảm nhẹ vào tuần trước khi tổng giá trị bị khóa trong các sản phẩm DeFi giảm từ 12,38 tỷ USD xuống 11,04 tỷ USD. 

Uniswap duy trì vị trí dẫn đầu thị trường với 24% thị phần tổng giá trị USD bị khóa. Sàn giao dịch phi tập trung cũng có lượng thanh khoản lớn nhất và duy trì sự thống trị về khối lượng giao dịch là 65%. 

Được thúc đẩy bởi vụ hack 34 triệu đô la của Harvest Finance, khối lượng giao dịch của DEX đạt 3,4 tỷ đô la vào ngày 26 tháng 10.

Trong lĩnh vực cho vay phi tập trung, Compound tiếp tục dẫn đầu, với 54% thị phần.

Tổng giá trị bị khóa trong DeFi giảm trong khi khối lượng DEX hàng tuần bùng nổ, sau vụ hack Harvest Finance. Nguồn: Xung DeFiDeBank

Mã thông báo KP3R của Keep3r Network giữ cho sự cường điệu của DeFi tồn tại

Mặc dù tổng giá trị bị khóa giảm nhẹ, sự cường điệu trên thị trường DeFi vẫn tồn tại sau khi Andre Cronje ra mắt mã thông báo mới. Người sáng lập yearn.finance đã công bố KP3R, mã thông báo cho Dự án mới nhất – tức là Mạng Keep3r, một thị trường phi tập trung cho các công việc kỹ thuật. 

Tương tự như các dự án trước đây của anh ấy, như eminence.finance, Cronje nhấn mạnh rằng keep3r.network vẫn đang trong giai đoạn thử nghiệm beta. Tuy nhiên, những người tham gia thị trường rất hào hứng với giao thức mới nhất của Cronje và KP3R tăng vọt từ $ 25 đến $ 350 trên Uniswap trong vòng vài giờ sau khi ra mắt. 

Cuộc tấn công cho vay chớp nhoáng 34 triệu đô la của Harvest Finance

Ở phía bên kia của lĩnh vực DeFi, các lỗ hổng bảo mật trong các giao thức DeFi vẫn là mối quan tâm sau khi Harvest Finance mất 34 triệu đô la.

Harvest Finance là một nền tảng canh tác năng suất cung cấp các dịch vụ theo dõi APY, phát triển chiến lược và giám sát chi phí khí đốt cho nông dân. Giao thức đã mất 34 triệu đô la từ các cuộc tấn công cho vay nhanh vào ngày 26 tháng 10 và tổng giá trị của nó bị khóa lao dốc hơn 60%.

Vay tiền nhanh là gì?

Khoản vay nhanh là một đổi mới tài chính phi tập trung được khởi xướng bởi giao thức cho vay DeFi Aave vào tháng Giêng. Sản phẩm cho phép người dùng vay vốn mà không cần thế chấp tài sản. Khoản vay nhanh không thực hiện bất kỳ kiểm tra tín dụng nào đối với người vay. 


Các khoản vay nhanh đã trở nên phổ biến trong giới kinh doanh chênh lệch giá, vì họ có thể tiến hành các bước sau để thu lợi nhuận nhanh chóng:

  1. Vay các khoản vay.
  2. Sử dụng các khoản vay để mua mã thông báo với giá thấp hơn trên một DEX.
  3. Bán lại các mã thông báo tương tự với giá cao hơn trên một DEX khác.
  4. Trả nợ và lãi vay.
  5. Giữ lợi nhuận.

Các hành động nói trên được thực hiện trong cùng một giao dịch trên chuỗi. Để thực hiện các giao dịch này, chuyên gia kinh doanh chênh lệch giá cần phải viết trước tất cả các bước trong hợp đồng thông minh. Nếu người vay không thể trả nợ đúng hạn, sẽ không có giao dịch nào được thực hiện. (Điều này phù hợp với giao dịch nguyên tử trên Ethereum – nếu một trong các giao dịch chuỗi không thành công, chuỗi sẽ bị hỏng và thỏa thuận được mã hóa trong hợp đồng thông minh không được thực hiện. Do đó, các giao dịch trong hợp đồng thông minh sẽ không được thực hiện.)

Điều gì đã xảy ra với Harvest Finance?

Trong khi các khoản vay nhanh cung cấp một nguồn lợi nhuận mới trong lĩnh vực tài chính phi tập trung, các kẻ xấu cố gắng sử dụng các khoản vay để thao túng thị trường DeFi – được gọi là các cuộc tấn công cho vay nhanh.

Trong trường hợp của Harvest Finance, tin tặc đã một loạt các hành động để kiếm lợi nhuận chênh lệch giá và thao túng thị trường DeFi:

  1. Tin tặc lần đầu tiên lấy các khoản vay nhanh 50 triệu USDC và 18,3 triệu USDT từ Uniswap.
  2. Tin tặc sau đó đã chuyển đổi 17,222 triệu USDT thành USDC thông qua Hồ bơi Y, một nhóm thanh khoản trong Curve Finance. Việc chuyển đổi USDT sang USDC khổng lồ đã làm tăng giá của USDC và số lượng USDC quy đổi chỉ trở thành 17,216 triệu.
  3. Tin tặc sau đó đã gửi 49,97 triệu USDC vào kho tiền USDC của Harvest Finance và nhận được 51,46 triệu fUSDC. Sau khi đặt cọc, giá USDC trên mỗi cổ phiếu giảm 1% (từ 0,98 xuống 0,971). Vì sự thay đổi giá trị không vượt quá ngưỡng 3%, các giao dịch đã được thực hiện và không hoàn nguyên.
  4. Tin tặc đã chuyển đổi tất cả fUSDC sang USDC với lợi nhuận 619 nghìn USDC. Sau đó, họ lặp lại cùng một giao dịch nhiều lần để thu được lợi nhuận nhanh chóng.
  5. Các tin tặc đã chuyển 13 triệu USDC và 11 triệu USDT đến địa chỉ của chúng. Sau đó, họ chuyển lại 1,76 triệu USDC và 718 nghìn USDT cho nhóm Tài chính thu hoạch.

Theo nhóm Harvest Finance, giá cổ phiếu của kho tiền USDC và kho tiền USDT lần lượt giảm 13,8% và 13,7% – tổng mức lỗ là 34 triệu USD. Nhóm nghiên cứu nhấn mạnh rằng những kẻ tấn công đã khai thác ảnh hưởng của tổn thất vô thường trong hồ bơi Y ở Curve. Những kẻ tấn công sau đó gửi tiền vào kho tiền của Harvest Finance với một mức giá có lợi và thoát ra khỏi kho tiền với giá cổ phiếu bình thường để thu lợi nhuận. Trước những thiệt hại của người dùng, nhóm Harvest Finance đã phân phối số tiền hoàn trả cho các nạn nhân và tung ra khoản tiền thưởng 100K đô la cho những người có thể giúp trả lại tiền.

Trong khi đó, Uniswap đạt khối lượng giao dịch cao nhất mọi thời đại là 2,19 tỷ đô la. Cong cũng vượt qua 2 tỷ đô la khối lượng giao dịch. Điều này có thể là do tin tặc của Harvest Finance sử dụng các nhà tạo lập thị trường tự động này để chuyển tiền của họ.

Khối lượng hàng ngày trên Uniswap đạt mức cao nhất mọi thời đại sau vụ hack Harvest Finance. Nguồn: Uniswap

Có thể ngăn chặn các cuộc tấn công cho vay nhanh không?

Nhóm Harvest Finance đã xác định một số giải pháp khả thi để ngăn chặn các cuộc tấn công cho vay nhanh. Đầu tiên là thực hiện cơ chế cam kết và tiết lộ cho các khoản tiền gửi. Cơ chế này sẽ làm cho các cuộc tấn công cho vay nhanh không thể thực hiện được bằng cách vô hiệu hóa các khoản tiền gửi và rút tiền trong cùng một giao dịch. Đối với người dùng, điều này có nghĩa là các khoản tiền gửi và rút tiền được ghi lại trong các giao dịch khác nhau – và họ sẽ trả phí gas cao hơn một chút cho điều đó. Nhóm cũng có kế hoạch đặt ngưỡng thấp hơn để kiểm tra chênh lệch tiền gửi chặt chẽ hơn, điều này làm tăng chi phí kinh tế để khởi động các cuộc tấn công cho vay nhanh.

Để nâng cao khả năng khám phá giá, một số giao thức DeFi có thể sử dụng các phép toán giá bên ngoài, chẳng hạn như Chainlink hoặc Maker. Tuy nhiên, nếu giá của tài sản trong giao thức DeFi khác với lời tiên tri, thì kho tài sản có thể bị phơi nhiễm bởi các cuộc tấn công chênh lệch giá và cho vay nhanh. Nhóm Harvest Finance tin rằng những lời chúc tụng blockchain không phải là giải pháp cho họ do thiết kế hệ thống.

OKEx Insights trình bày các phân tích thị trường, các tính năng chuyên sâu, nghiên cứu ban đầu & tin tức được tuyển chọn từ các chuyên gia tiền điện tử.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map