Flash Loan Attacks là gì?

Các khoản vay nhanh đang trở thành một phần lớn hơn của DeFi – và cùng với sự phổ biến ngày càng tăng của chúng, các cuộc tấn công cho vay nhanh (Flash Loan Attacks) ngày càng gia tăng.

Flash Loan Attacks

Mặt xấu của DeFi lại xuất hiện trong tuần này khi giao thức PancakeBunny của Binance Smart Chain bị một cuộc tấn công lỗ hổng cho vay nhanh 200 triệu đô la thảm khốc. Quá trình này mất hơn 700.000 BUNNY và 114.000 BNB. Mặc dù ngành công nghiệp đã nỗ lực hết sức, nhưng tổn thất này là vĩnh viễn. Bất chấp nhiều yêu cầu, ngay cả Nic Cage cũng không thể khiến hacker đặt lại “chú thỏ” này vào hộp

Tuy nhiên, tất cả những trò đùa sang một bên, các cuộc tấn công cho vay nhanh không chớp nhoáng. Trên thực tế, chúng đang trở thành một vấn đề rất nghiêm trọng trong không gian tiền điện tử và tài chính phi tập trung (DeFi). 

Trong bài viết này, chúng ta sẽ xem xét Flash Loan Attacks là gì? Chúng hoạt động như thế nào? Tại sao chúng lại phổ biến như vậy? Và liệu chúng có thể bị dừng lại hay không?

Một cuộc tấn công cho vay nhanh (Flash Loan Attack) là gì?

Các cuộc tấn công cho vay nhanh là một loại tấn công DeFi. Một tội phạm ảo thực hiện một khoản vay nhanh (một hình thức cho vay không tập trung) từ một giao thức cho vay và sử dụng nó kết hợp với nhiều loại mánh lới quảng cáo khác nhau để thao túng thị trường có lợi cho họ. Các cuộc tấn công như vậy có thể xảy ra chỉ trong vài giây. Nhưng vẫn liên quan đến bốn hoặc nhiều giao thức DeFi.

Các cuộc tấn công cho vay nhanh là các loại tấn công DeFi phổ biến nhất. Vì chúng là loại hình thức tấn công rẻ nhất và dễ thực hiện nhất. Họ đã liên tục xuất hiện trên các tiêu đề kể từ khi DeFi tăng phổ biến vào năm 2020. Dường như đang phát triển tràn lan hơn vào năm 2021, kéo dài hàng trăm triệu đô la lỗ cho đến nay.

Flash Loan Attacks – Các cuộc tấn công cho vay nhanh

Các khoản cho vay nhanh là gì?

Các khoản vay nhanh là một loại cho vay không tập trung mới được thực thi bởi các hợp đồng thông minh do Aave tiên phong. Đây một trong những giao thức cho vay hàng đầu trong DeFi.

Theo truyền thống, có hai loại cho vay: các khoản vay có bảo đảm, cần có tài sản thế chấp và các khoản vay không có thế chấp thì không. Một ví dụ về khoản vay không có thế chấp là khi bạn vay 2.000 đô la từ ngân hàng. Một số ngân hàng sẵn sàng cho bạn vay số tiền đó với điều kiện bạn phải có thành tích thanh toán các khoản vay tốt. 

Tuy nhiên, nếu số tiền bạn định vay quá lớn, thì việc họ cho vay tín chấp sẽ là quá rủi ro, ngay cả khi bạn có điểm tín dụng tốt. Ví dụ, nếu bạn muốn vay 30.000 đô la. Thông thường các ngân hàng sẽ yêu cầu bạn cung cấp tài sản thế chấp. Chẳng hạn như nhà, xe cộ của bạn, v.v., để giảm thiểu rủi ro của họ.

Các khoản vay nhanh về cơ bản là các khoản vay không có bảo đảm trên steroid cho thế hệ DeFi degen, không yêu cầu tài sản thế chấp, kiểm tra tín dụng cũng như không giới hạn số tiền bạn có thể vay. Miễn là bạn có thể trả lại khoản vay trong cùng một giao dịch. 

Giao dịch chênh lệch giá là gì?

Giao dịch chênh lệch giá là trường hợp sử dụng phổ biến nhất của các khoản vay nhanh. Vì nó cho phép các nhà giao dịch kiếm tiền từ chênh lệch giá giữa các sàn giao dịch khác nhau. Ví dụ: nếu LINK là 30 đô la trên Exchange A và 35 đô la trên Exchange B; người dùng có thể vay qua khoản vay nhanh và thực hiện một lệnh riêng biệt để mua 100 LINK với giá 3.000 đô la tại Exchange A, sau đó bán tất cả chúng với giá 3.500 đô la tại Exchange B và thanh toán trả lại khoản vay 3.000 đô la. Trong trường hợp này, người dùng sẽ có thể bỏ túi 500 đô la trừ phí.

Cách thức hoạt động của Flash Loan Attacks

Các khoản vay nhanh cho phép người dùng vay bao nhiêu tùy thích với số vốn bằng không. Ví dụ: nếu bạn muốn vay ETH trị giá 70.000 đô la. Một giao thức cho vay sẽ ngay lập tức cung cấp cho bạn, nhưng nó không phải là của bạn. Bạn cần phải làm gì đó với số tiền đã vay để trả lại khoản vay. Và bạn có thể bỏ túi số tiền thừa còn lại.

Để điều này hoạt động, quy trình cần diễn ra nhanh chóng và khoản nợ phải được hoàn trả cho giao thức kịp thời, nếu không giao dịch sẽ đảo ngược. Người cho vay phi tập trung không yêu cầu bạn thế chấp vì thỏa thuận trả nợ của bạn được thực thi bởi một bloackchain. Những kẻ tấn công cho vay nhanh chóng phát triển mạnh khi tìm cách thao túng thị trường trong khi vẫn tuân thủ các quy tắc của blockchain.

Nghiên cứu điển hình

Hãy cùng khám phá hai kịch bản trong thế giới thực về các cuộc tấn công cho vay tiền nhanh đã xảy ra để minh họa rõ hơn cơ cấu của các vụ khai thác này.

PancakeBunny Attack

Hãy cùng xem lại chú thỏ đó và sức hút chết người của nó đối với tin tặc. Cuộc tấn công cho vay nhanh gần đây nhất kể từ tháng 5/2021 xảy ra tại PancakeBunny. Một công ty khai thác lợi suất do BSC cung cấp, đã bị một vụ khai thác khiến token của nó giảm mạnh hơn 95% giá trị trước đó. 

Ban đầu kẻ tấn công đã vay một lượng lớn BNB thông qua PancakeSwap. Hắn sử dụng nó để thao túng giá USDT/BNB và BUNNY/BNB trong các nhóm của PancakeBunny. Điều này cho phép hacker đánh cắp một lượng lớn BUNNY mà họ đã bán ra thị trường, khiến giá giảm. Sau đó, hacker đã trả nợ thông qua PancakeSwap.

Dữ liệu cho thấy rằng hacker đã có thể kiếm được gần 3 triệu đô la lợi nhuận. Để lại một giao thức bị hoen ố.

Alpha Homora Exploit

Vụ hack cho vay nhanh lớn nhất vào năm 2021 xảy ra vào tháng 2. Khi giao thức Alpha Homora bị rút hết 37 triệu đô la bằng cách sử dụng Iron Bank, nền tảng cho vay của Cream. Giao thức khai thác lợi suất đòn bẩy đã bị ảnh hưởng bởi một loạt các khoản vay nhanh.

Tin tặc liên tục vay sUSD từ Iron Bank thông qua Alpha Homora, tăng gấp đôi số tiền vay mỗi lần. Điều này được thực hiện trong một quy trình hai giao dịch; nơi tin tặc cho vay lại tiền vào Iron Bank mỗi lần, cho phép họ nhận lại Yearn Synth sUSD (cySUSD).

Sau đó, thủ phạm đã vay 1,8 triệu USD Coin (USDC) từ Aave thông qua một khoản vay nhanh. Sau đó hoán đổi chúng bằng sUSD bằng cách sử dụng Curve. Đồng sUSD được sử dụng để trả lại khoản vay nhanh và cho vay cho Iron Bank, điều này cho phép họ liên tục vay và cho vay nhiều hơn và nhận được một lượng cySUSD tương ứng mỗi lần.

Về cơ bản, hacker rửa sạch và lặp đi lặp lại quá trình này nhiều lần cho phép họ để ăn cắp một lượng lớn Creamy cyUSD rằng họ lần lượt sử dụng tiền điện tử khác để vay từ Iron Bank. Do đó, họ đã vay Wrapped Ethereum (WETH), 3,6 triệu USDC, 5,6 triệu USDT và 4,2 triệu DAI .

Như bạn có thể thấy, quá trình này có thể khá phức tạp và đòi hỏi một loạt các bước cần diễn ra rất nhanh. Đó là minh chứng cho thấy những kẻ tấn công này sẵn sàng đi xa như thế nào.

Tại sao Flash Loan Attacks lại phổ biến trong DeFi

Các khoản cho vay chớp nhoáng là những kế hoạch rủi ro thấp, chi phí thấp và phần thưởng cao. Điều này khiến chúng trở thành một tổ hợp nguy hiểm trong tâm trí của bọn tội phạm. 

Dưới đây là những lý do hàng đầu khiến các cuộc tấn công cho vay nhanh ngày càng gia tăng. 

Flash Loan Attacks có giá rẻ

Không giống như các cuộc tấn công 51% cần nguồn lực khổng lồ để thực hiện. Các khoản vay nhanh chỉ yêu cầu ba thứ: máy tính, kết nối internet và nhất là sự khéo léo. Tin tặc dường như cần phải lên kế hoạch về cách chúng tấn công; nhưng việc thực hiện chỉ mất vài giây đến vài phút. Do đó, nó cũng không đòi hỏi đầu tư nhiều về thời gian.

Flash Loan Attacks có rủi ro thấp

Thực hiện bất kỳ hoạt động tội phạm nào đều phải chịu rủi ro. Nhưng hãy tưởng tượng việc cướp ngân hàng mà không cần phải có mặt tại ngân hàng. Điều này tóm tắt một cách thô thiển quan điểm của những kẻ tấn công cho vay nặng lãi. Một năm rưỡi qua đã chứng minh việc ăn cắp từ các giao thức DeFi dễ dàng như thế nào. 

Thực tế, chưa có kẻ tấn công cho vay nhanh nào bị bắt, ít nhất là không phải gần đây. Điều này là do hầu hết chúng không để lại dấu vết khi chúng biến mất bản chất của các mạng không được phép và các công cụ có sẵn để làm xáo trộn danh tính như Tornado Cash.

Làm thế nào để ngăn chặn Flash Loan Attacks

Xem xét ngày càng nhiều các cuộc tấn công cho vay nhanh hiện nay, rõ ràng là vẫn chưa có giải pháp chung và tất cả. Tuy nhiên, có những bước đáng chú ý có thể được thực hiện để chống lại vấn đề này. 

Sử dụng Oracles phi tập trung cho dữ liệu giá

Cách tối ưu nhất để giảm các vector tấn công cho vay nhanh là dành cho các nền tảng Defi. Sử dụng giá phân oracles như Chainklink và Band Protocol thay vì dựa vào một số ít DEX cho thức ăn chăn nuôi giá của họ. Alpha Homora đã phải học điều này một cách khó khăn trước khi quyết định tung ra Alpha Oracle Aggregator của họ vào tháng 5 năm ngoái. 

Buộc các giao dịch quan trọng thực hiện qua hai block

Dragonfly Research đã đề xuất buộc các khoản vay nhanh phải đi qua hai block thay vì một block. Tuy nhiên, đây cũng không phải là một giải pháp hoàn chỉnh. Vì nếu nó được thiết kế không chính xác; kẻ khai thác có thể chỉ đơn giản là tấn công cho vay mượn cả hai block. Hơn nữa, điều này có thể ảnh hưởng đáng kể đến giao diện người dùng của các giao thức DeFi. Bởi vì các giao dịch sẽ không còn đồng bộ nữa.

Sử dụng công cụ phát hiện Flash Loan Attack

Một trong những yếu tố lớn nhất cho phép kẻ khai thác thoát khỏi các cuộc tấn công cho vay nhanh là sự chậm trễ trong thời gian phản hồi từ các nhà phát triển nền tảng DeFi. Và chúng ta không thể đổ lỗi bởi vì việc khai thác thường khó xác định khi quá muộn.

OpenZeppelin gần đây đã khởi chạy một chương trình có tên OpenZeppelin Defender. Nó cho phép các nhà quản lý dự án phát hiện các các hoạt động bất thường. Và nó cho phép họ phản ứng nhanh chóng và vô hiệu hóa các cuộc tấn công. Theo bài đăng trên blog của họ, công cụ này đã được tích hợp bởi nhóm Synthetix, Yearn và Opyn.

Kết luận

Các cuộc tấn công cho vay nhanh là tiêu chuẩn và chúng sẽ tồn tại ở đây; ít nhất là trong một thời gian dài nữa. Bất chấp tất cả các giải pháp được đề xuất đặt ra. Chúng ta nên lưu ý rằng công nghệ DeFi chưa đủ trưởng thành để chúng ta tự mãn. Vì hàng tuần, các lỗ hổng mới lại bị hacker lộ ra trước khi chúng được vá. 

Cách duy nhất mà các nhà phát triển có thể đối phó là tối đa hóa các giải pháp mà họ có ngày hôm nay. Và nếu chúng không hoạt động, họ sẽ học được điều gì đó mới mỗi khi bị tấn công.

Đối với người dùng, chúng ta không nên nản lòng tham gia vào các chương trình DeFi. Ví dụ như đặt cược, khai thác lợi suất và khai thác thanh khoản. Vì chúng cũng mang lại những cơ hội to lớn cho bản thân. Chỉ cần nhớ cân chỉnh cẩn thận các rủi ro liên quan. Và không bao giờ gửi các khoản tiền mà bạn không thể để mất. Đầu tư là tất cả về quản lý rủi ro và đặt cược DeFi cũng không khác.

Nếu có bất kỳ câu hỏi và chia sẻ, hãy để lại bình luận bên dưới và đừng ngại tham gia X100 Coin Group để được thảo luận, trao đổi cùng các admin và nhiều member khác nhé!

Đừng quên theo dõi thường xuyên trang tiendientu.com – Nơi cung cấp và cập nhật các thông tin chi tiết liên quan về tiền điện tử nhanh nhất.

Nguồn CoinMarketCap

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *