Flash Loan Attacks là gì?
Flash Loan (các khoản vay nhanh) đang dần trở nên phổ biến trong hệ sinh thái tài chính phi tập trung (DeFi). Với sự phổ biến ngày càng gia tăng của chúng, các cuộc tấn công Flash Loan ngày càng tăng cao.
Flash Loan Attacks là gì?
DeFi lại bị hacker tấn công khi giao thức PancakeBunny của Binance Smart Chain bị một cuộc tấn công lỗ hổng vay nhanh lên đến 200 triệu USD một cách thảm khốc. Vụ việc này làm mất hơn 700.000 BUNNY và 114.000 BNB. Mặc dù đã nỗ lực hết sức, nhưng những tổn thất này là vô cùng lớn.
Tuy nhiên, các cuộc tấn công vay nhanh không chỉ là thoáng qua. Trên thực tế, chúng đang trở thành một vấn đề rất nghiêm trọng trong không gian tiền điện tử và tài chính phi tập trung (DeFi).
Trong bài viết này, chúng ta sẽ xem xét Flash Loan Attacks là gì? Chúng hoạt động như thế nào? Tại sao chúng lại phổ biến như vậy? Và liệu chúng có thể dừng lại hay không?
Flash Loan là gì?
Flash Loan là khoản vay nhanh, cho phép người dùng vay và trả lại tài sản vay chỉ bằng một giao dịch trên blockchain mà không cần tài sản thế chấp. Đây một trong những giao thức cho vay hàng đầu trên DeFi.
Theo truyền thống, có hai loại cho vay: các khoản vay có bảo đảm, cần có tài sản thế chấp và các khoản vay không có thế chấp. Một ví dụ về khoản vay không có thế chấp là khi bạn vay 2.000 USD từ ngân hàng. Một số ngân hàng sẵn sàng cho bạn vay số tiền này với điều kiện bạn phải có thành tích tốt trong việc thanh toán các khoản vay trước đó.
Tuy nhiên, nếu số tiền bạn định vay quá lớn, thì việc họ cho vay tín chấp sẽ là quá rủi ro, ngay cả khi bạn có uy tín tốt. Ví dụ, nếu bạn muốn vay 30.000 USD. Thông thường các ngân hàng sẽ yêu cầu bạn cung cấp tài sản thế chấp. Chẳng hạn như nhà, xe cộ của bạn,… để giảm thiểu rủi ro của họ.
Các khoản vay nhanh về cơ bản là các khoản vay không yêu cầu tài sản thế chấp, kiểm tra tín dụng cũng như không giới hạn số tiền bạn có thể vay. Miễn là bạn có thể trả lại khoản vay này trong thời gian quy định.
Flash Loan Attack là gì?
Flash Loan Attacks là những cuộc tấn công lợi dụng hình thức cho vay nhanh, một loại tấn công phổ biến trên DeFi. Tội phạm ảo thực hiện một khoản vay nhanh và lợi dụng những lỗ hổng trong giao thức để trục lợi cho cá nhân hoặc để thao túng thị trường có lợi cho họ. Các cuộc tấn công như vậy có thể xảy ra chỉ trong vài giây nhưng vẫn liên quan đến bốn hoặc nhiều giao thức DeFi.
Các cuộc tấn công vay nhanh là các loại tấn công DeFi phổ biến nhất. Vì chúng là hình thức tấn công rẻ và dễ thực hiện nhất. Chúng đã liên tục xuất hiện kể từ khi DeFi tăng sự phổ biến vào năm 2020.
Giao dịch chênh lệch giá
Giao dịch chênh lệch giá là hình thức sử dụng phổ biến nhất của các khoản vay nhanh vì nó cho phép các nhà giao dịch kiếm tiền từ sự chênh lệch giá giữa các sàn giao dịch khác nhau. Ví dụ: nếu tài sản T là 30 USD trên sàn giao dịch A và 35 USD trên sàn giao dịch B, người dùng có thể vay qua khoản vay nhanh và thực hiện mua 100 T với giá 3.000 USD tại sàn giao dịch A, sau đó bán tất cả chúng với giá 3.500 USD tại sàn giao dịch B và thanh toán trả lại khoản vay 3.000 USD. Trong trường hợp này, người dùng sẽ có thể bỏ túi 500 USD trừ phí.
Cách thức hoạt động của Flash Loan Attacks
Các khoản vay nhanh cho phép người dùng vay bao nhiêu tùy thích với số vốn bằng không. Ví dụ: nếu bạn muốn vay Ethereum trị giá 70.000 USD, một giao thức cho vay sẽ cho phép bạn vay ngay lập tức. Tuy nhiên, bạn cần phải làm gì đó với số tiền đã vay để trả lại khoản vay. Và bạn có thể bỏ túi số tiền thừa còn lại.
Để điều này hoạt động, quy trình cần diễn ra nhanh chóng và khoản nợ phải được hoàn trả cho giao thức đúng thời gian quy định. Người cho vay phi tập trung không yêu cầu bạn thế chấp vì thỏa thuận trả nợ của bạn được thực thi bởi một blockchain. Những kẻ tấn công vay nhanh phát triển mạnh khi tìm cách thao túng thị trường trong khi vẫn tuân thủ các quy tắc của blockchain.
Các trường hợp điển hình
Hãy cùng khám phá hai kịch bản trong thế giới thực về các cuộc tấn công cho vay tiền nhanh – Flash Loan Attacks – đã xảy ra để minh họa rõ hơn cơ cấu của các vụ khai thác này.
PancakeBunny Attack
Cuộc tấn công vay nhanh gần đây nhất kể từ tháng 5/2021 xảy ra tại PancakeBunny. Một công ty khai thác lợi suất do BSC cung cấp, đã bị một vụ khai thác khiến token (tiền điện tử) của nó giảm mạnh hơn 95% giá trị trước đó.
Ban đầu kẻ tấn công đã vay một lượng lớn BNB (Binance coin) thông qua PancakeSwap. Hắn sử dụng nó để thao túng giá USDT/BNB (Tether coin/Binance) và BUNNY/BNB (Bunny coin/Binance coin) của PancakeBunny. Điều này cho phép hacker đánh cắp một lượng lớn BUNNY, khiến giá giảm. Sau đó, hacker đã trả nợ thông qua PancakeSwap.
Dữ liệu cho thấy rằng hacker đã có thể kiếm được gần 3 triệu USD lợi nhuận.
Alpha Homora Exploit
Vụ hack vay nhanh lớn nhất vào năm 2021 xảy ra vào tháng 2. Khi giao thức Alpha Homora bị rút hết 37 triệu USD bằng cách sử dụng Iron Bank (nền tảng cho vay của Cream).
Hacker liên tục vay sUSD từ Iron Bank thông qua Alpha Homora, mỗi lần như thế họ lại tăng gấp đôi số tiền vay. Đây là một quy trình 2 giao dịch, hacker tiếp tục cho vay lại số tiền này vào Iron Bank. Điều này cho phép chúng nhận lại Yearn Synth sUSD (cySUSD).
Sau đó, thủ phạm đã vay 1,8 triệu USD Coin (USDC) từ Aave. Tiếp tục hoán đổi chúng thành sUSD. Đồng sUSD được sử dụng để trả lại khoản vay nhanh và tiếp tục cho vay vào Iron Bank. Điều này cho phép chúng liên tục vay và cho vay nhiều hơn, giúp chúng nhận được một lượng cySUSD.
Về cơ bản, hacker xóa sạch và lặp đi lặp lại quá trình này nhiều lần, cho phép chúng ăn cắp một lượng lớn Creamy cyUSD. Do đó, chúng đã vay được 13 nghìn Wrapped Ethereum (WETH), 3,6 triệu USDC, 5,6 triệu USDT và 4,2 triệu DAI.
Như bạn có thể thấy, quá trình này có thể khá phức tạp và đòi hỏi một loạt các bước diễn ra rất nhanh. Minh chứng cho thấy những kẻ tấn công này sẵn sàng đi xa như thế nào.
Tại sao Flash Loan Attacks lại phổ biến trong DeFi?
Các khoản vay nhanh là những kế hoạch rủi ro thấp, chi phí thấp và phần thưởng cao. Điều này đã khiến bọn tội phạm dễ dàng lợi dụng các khoản vay nhanh để thực hiện các hành vi trục lợi. Dưới đây là những lý do hàng đầu khiến các cuộc tấn công cho vay nhanh ngày càng gia tăng.
Flash Loan Attacks có chi phí thấp
Không giống như các cuộc tấn công cần nguồn lực khổng lồ để thực hiện. Các khoản vay nhanh chỉ yêu cầu ba thứ: máy tính, kết nối internet và nhất là sự khéo léo. Hacker dường như cần phải lên kế hoạch về cách chúng tấn công, nhưng việc thực hiện chỉ mất vài giây đến vài phút. Do đó, nó cũng không đòi hỏi đầu tư nhiều về thời gian.
Flash Loan Attacks có rủi ro thấp
Thực hiện bất kỳ hoạt động tội phạm nào đều phải chịu rủi ro. Nhưng hãy tưởng tượng việc cướp ngân hàng mà không cần phải có mặt tại ngân hàng. Điều này thể hiện quan điểm của những kẻ tấn công vay nhanh. Thời gian qua đã chứng minh việc ăn cắp từ các giao thức DeFi dễ dàng như thế nào.
Thực tế, chưa có kẻ tấn công cho vay nhanh nào bị bắt, ít nhất là không phải gần đây. Điều này là do hầu hết chúng không để lại dấu vết khi biến mất, bản chất của các mạng không cho phép và các công cụ có sẵn đã làm xáo trộn danh tính của chúng.
Làm thế nào để ngăn chặn Flash Loan Attacks
Xem xét ngày càng nhiều các cuộc tấn công vay nhanh hiện nay, rõ ràng là vẫn chưa có giải pháp chung. Tuy nhiên, có những giải pháp đáng chú ý có thể được thực hiện để chống lại vấn đề này.
Sử dụng Oracles
Cách tối ưu nhất để giảm các cuộc tấn công vay nhanh nằm ở nền tảng Defi. Sử dụng Oracles như Chainklink và Band Protocol thay vì dựa vào một DEX (sàn giao dịch tập trung) duy nhất cho nguồn cấp dữ liệu của họ.
Buộc các giao dịch quan trọng thực hiện qua hai block
Dragonfly Research đã đề xuất buộc các khoản vay nhanh phải đi qua hai block thay vì một block. Tuy nhiên, đây cũng không phải là một giải pháp hoàn chỉnh. Vì nếu nó được thiết kế không chính xác, tội phạm ảo có thể chỉ đơn giản là tấn công vay nhanh cả hai block. Hơn nữa, điều này có thể ảnh hưởng đáng kể đến giao diện người. Bởi vì các giao dịch sẽ không còn đồng bộ nữa.
Sử dụng công cụ phát hiện Flash Loan Attack
Một trong những yếu tố lớn nhất cho phép tội phạm ảo thoát khỏi các cuộc tấn công vay nhanh là sự chậm trễ trong thời gian phản hồi từ các nhà phát triển nền tảng DeFi. Và chúng ta không thể đổ lỗi bởi vì việc khai thác thường khó xác định.
OpenZeppelin gần đây đã khởi chạy một chương trình có tên OpenZeppelin Defender. Nó cho phép các nhà quản lý dự án phát hiện các các hoạt động bất thường và cho phép họ phản ứng nhanh chóng và vô hiệu hóa các cuộc tấn công. Theo bài đăng trên blog của họ, công cụ này đã được tích hợp bởi nhóm Synthetix, Yearn và Opyn.
Kết luận
Các cuộc tấn công cho vay nhanh sẽ tồn tại ít nhất trong một thời gian dài nữa. Bất chấp tất cả các giải pháp được đề xuất đặt ra. Chúng ta nên lưu ý rằng công nghệ DeFi chưa đủ trưởng thành để tin tưởng hoàn toàn. Vì hàng tuần, các lỗ hổng mới lại bị hacker làm lộ ra trước khi chúng được vá lại. Cách duy nhất mà các nhà phát triển có thể đối phó là tối đa hóa các giải pháp mà họ có ngày hôm nay.
Đối với người dùng, chúng ta không nên nản lòng tham gia vào các chương trình DeFi. Ví dụ như đặt cược, khai thác lợi suất và khai thác thanh khoản. Vì chúng cũng mang lại những cơ hội to lớn chỉ cần nhớ cẩn thận các rủi ro liên quan. Và không bao giờ gửi các khoản tiền mà bạn không thể để mất. Đầu tư là tất cả về quản lý rủi ro và đặt cược DeFi cũng không ngoại lệ.
Nội dung được dịch và biên tập lại từ CoinMarketCap. Trong quá trình dịch không tránh được các sai sót khi biên dịch các thuật ngữ chuyên môn. Bạn có thể đọc bài viết gốc tại đây. Cảm ơn các bạn đã ủng hộ tiendientu.com.
Nếu có bất kỳ câu hỏi và chia sẻ, hãy để lại bình luận bên dưới và đừng ngại tham gia X100 Coin Group để được thảo luận, trao đổi cùng các admin và nhiều member khác nhé!
Đừng quên theo dõi thường xuyên trang tiendientu.com – Nơi cung cấp và cập nhật các thông tin chi tiết liên quan về tiền điện tử nhanh nhất.
Nguồn CoinMarketCap.
