Một Cuộc Tấn Công Khoản Vay Nhanh Là Gì – Và Làm Sao Để Ngăn Chặn?

Cách mọi người nhìn nhận và sử dụng tiền điện tử đã thay đổi rất nhiều nhờ sự phát triển của tài chính phi tập trung (DeFi), đặc biệt nhờ những nền tảng tài chính độc lập cung cấp đa dạng các loại hình cho vay crypto, đem đến nhiều giá trị cho cả người vay và người cho vay.

Một cách cho vay phổ biến trong hệ sinh thái DeFi là khoản vay nhanh, vì nó cho phép người đi vay nhanh chóng hưởng lợi từ các cơ hội kinh doanh chênh lệch giá. Nó cho người dùng mượn tiền để mua tài sản crypto, bán tài sản, trả lại khoản vay và kiếm lợi nhuận.

Thật không may, dù đó là một ý tưởng tuyệt vời và vận hành tốt, nhiều người lại lợi dụng hình thức cho vay này. Hãy tiếp tục đọc nếu bạn muốn tìm hiểu thêm về các cuộc tấn công cho vay nhanh và cách ngăn chặn chúng.

Một Cuộc Tấn Công Khoản Vay Nhanh Là Gì?

Một cuộc tấn công khoản vay nhanh là việc xâm phạm bảo mật smart contract của một nền tảng nào đó, kẻ tấn công thường vay rất nhiều tiền nhưng không bị yêu cầu tài sản thế chấp. Sau đó, chúng thao túng giá một tài sản crypto trên một sàn giao dịch và nhanh chóng bán lại tài sản đó trên một sàn giao dịch khác.

Quá trình này diễn ra nhanh chóng và kẻ tấn công lặp lại quá trình nhiều lần trước khi kết thúc và rời đi không một dấu vết.

Một Khoản Vay Nhanh Là Gì?

Sự phát triển của không gian cho vay DeFi đã khiến việc cho vay crypto trở nên rất phổ biến. Nhờ tận dụng được toàn bộ sức mạnh của các công nghệ hiện hành, các khoản vay nhanh trở thành một hình thức cho vay rất hấp dẫn.

Thuật ngữ khoản vay nhanh chỉ việc người vay nhận một khoản vay mà không cần thế chấp. Chắc hẳn bạn đang thắc mắc: Sao việc này có thể xảy ra được? Với smart contract của nền tảng, cả quy trình cho vay và trả tiền đều xảy ra trong một giao dịch duy nhất trên chuỗi blockchain.

Có nghĩa là người đi vay phải hành động nhanh và hoàn trả khoản vay trong thời gian ngắn. Nếu người cho vay vỡ nợ vì bất kỳ lí do gì, toàn bộ giao dịch sẽ bị hủy như chưa từng có gì xảy ra.

Nguyên tắc đơn giản và rất thực tế. Không giống các khoản vay có bảo đảm truyền thống, bạn không cần tài sản thế chấp, điểm tín dụng hay bị giám sát mà vẫn mượn được một khoản vay không cần bảo đảm. Bạn có thể nhận được rất nhiều stablecoin chỉ trong vài giây và sử dụng để sinh lời ngay.

Trên nhiều nền tảng DeFi, các nhà giao dịch đang tiến hành quá trình đó. Ví dụ, người dùng Aave có thể nhận các khoản vay nhanh, sử dụng tiền đó để kinh doanh chênh lệch giá nếu có cơ hội, sau đó trả nợ và giữ lại lợi nhuận.

Quy trình vay và cho vay được tự động hóa và nếu mọi thứ thuận lợi, cả người cho vay và người vay đều được hưởng lợi. Nếu có vấn đề gì, giao dịch sẽ bị hủy và không ai được hưởng lợi cả.

Các Cuộc Tấn Công Khoản Vay Nhanh Có Phổ Biến Không?

Với công nghệ vẫn đang phát triển, các cuộc tấn công khoản vay nhanh DeFi hiện khá phổ biến. Hiện tại, hơn 70 vụ khai thác DeFi đã bị dùng để đánh cắp một số tiền khổng lồ, lên tới khoảng $1,5 tỷ. Xu hướng này có thể sẽ tiếp tục trong những năm tới, vì việc làm cho bảo mật của nền tảng không thể bị xuyên thủng là một nhiệm vụ khó khăn.

Thách thức đầu tiên là nhà phát triển chưa đủ khả năng bao quát tất cả mọi điểm yếu, vì công nghệ chuỗi blockchain còn khá mới. Một vấn đề khác là các hệ thống phát triển nhanh chóng, và dự án nào cũng được rót rất nhiều tiền. Lượng stake cao, và các nhà phát triển thử nghiệm nhiều phương pháp khác nhau để tìm ra lỗi trong hệ thống. Một số kẻ tấn công lợi dụng sai sót trong tính toán của nhóm thanh khoản. Những kẻ khác thì tấn công thợ đào, hay lợi dụng sai sót trong code.

Không may, công cụ hiện thực hóa mọi thứ cũng chính là điểm yếu.

Vấn đề với smart contract là chúng có toàn quyền kiểm soát các giao thức DeFi. Một khi kẻ tấn công hiểu cách smart contract hoạt động chi tiết đến mức nào, chúng có thể thao túng những điểm thiếu sót của hợp đồng để kiếm lợi.

Có nghĩa bảo mật của DeFi là một cán cân mong manh: một bên là kỹ năng của người tạo lập hợp đồng cho giao thức và bên kia là kỹ năng của hacker.

Một lỗ hổng khác là dữ liệu giá cả của nền tảng. Vì có rất nhiều sàn giao dịch trên toàn thế giới, nên không thể xác định một mức giá chính xác duy nhất cho tài sản kỹ thuật số crypto. Sự khác biệt về giá khiến mọi người hứng thú với kinh doanh chênh lệch giá. Theo dõi thị trường là cách tuyệt vời để kiếm lợi nhuận, dựa vào sự biến động giá cả chính thống. Tuy nhiên, các cuộc tấn công khoảng vay nhanh thao túng giá và lợi dụng sự thay đổi đột ngột của giá.

Khi kẻ tấn công nhận được khoản vay nhanh, chúng tạo ra một đợt bán tháo, khiến giá tài sản crypto giảm mạnh.

May mắn thay, đã có một số hệ thống để ngăn chặn việc lạm dụng các khoản vay phi tập trung như vậy. Chúng ta sẽ nói về việc đó sau khi xem một vài ví dụ về các cuộc tấn công khoản vay nhanh.

Một Số Ví Dụ Về Tấn Công Khoản Vay Nhanh

Tính đến hiện tại, đã có vô số các cuộc tấn công khoản vay nhanh. Dưới đây chỉ là một số ví dụ tiêu biểu nhất.

Cream Finance

C.R.E.A.M. Finance đã bị tấn công nhiều lần vào năm 2021. Một trong những vụ tấn công lớn nhất lên tới $130 triệu. Thủ phạm đánh cắp token thanh khoản CREAM, có giá trị lên tới hàng triệu USD và việc bị đánh cắp trong bao lâu vẫn không được tiết lộ. Mọi khoản lỗ đều được hiển thị trong chuỗi và vẫn chưa bắt được thủ phạm.

May mắn thay, lỗ hổng chỉ nằm ở một phần trong hệ thống DeFi của Cream, vì nền tảng của Yearn Finance là một đối tác hợp nhất với Cream vẫn an toàn. Giống như hầu hết các vụ hack giao thức DeFi khác, những kẻ tấn công đã sử dụng nhiều khoản vay nhanh và thao túng giá của oracle.

Với sự giúp đỡ của đội ngũ Yearn, nền tảng đã nhanh chóng vá lại lỗ hổng.

Alpha Homora

Vào tháng 2/2021, một vụ tấn công vào giao thức Alpha Homora đã làm thiệt hại $37 triệu. Kẻ tấn công cũng sử dụng Iron Bank của C.R.E.A.M. Finance thông qua một loạt các khoản vay nhanh. Iron Bank là chi nhánh cho vay của giao thức Alpha Homora.

Các hacker đã lặp lại quá trình này nhiều lần đến khi tích lũy đủ CreamY USD (còn gọi là cyUSD), sau đó sử dụng các token đó để vay nhiều loại tiền điện tử khác. Vụ hack khá phức tạp và gồm nhiều bước. Về cơ bản, kẻ tấn công đã thao túng nặng nề bể sUSD của HomoraBank v2.

Chúng thực hiện một loạt các giao dịch và các khoản vay nhanh, cho phép chúng phá hoại giao thức cho vay giữa HomoraBank v2 và Iron Bank. Bạn có thể xem thêm Điều tra sau vụ tấn công Alpha Homora để biết chi tiết hơn những gì hacker đã làm.

Ngoài ra, chúng còn lợi dụng sai số làm tròn của các tính toán cho vay đơn lẻ.

dYdX

Có những vụ tấn công giao thức đòi hỏi canh đúng thời điểm và thao túng giá. Đó là trường hợp của một vụ tấn công dYdX vào đầu năm 2020. Kẻ tấn công vay khoản vay nhanh trên nền tảng này, sau đó chia nhỏ tiền và sử dụng ở hai nền tảng giao dịch là Fulcrum và Compound.

Phần tiền thứ nhất được sử dụng trên Fulcrum để đổi từ ETH sang WBTC. Trong quá trình này, Kyber Network đã nhận lệnh giao dịch thông qua DEX của Uniswap. Điểm mấu chốt là nhóm thanh khoản thấp của Uniswap đã khiến giá WBTC cao ngất ngưởng.

Đồng thời, kẻ tấn công sử dụng phần thứ hai của khoản vay trên nền tảng Compound để nhận một khoản vay nhanh WBTC. Khi giá tăng vọt trên Uniswap, kẻ tấn công đã nhanh chóng thực hiện giao dịch và nhận một khoản lợi nhuận bất hợp pháp đáng kể.

PancakeBunny

Vào tháng 5/2021, một hacker đã thử nghiệm với nền tảng PancakeBunny bằng cách đánh cắp gần $3 triệu. Đầu tiên, hacker sử dụng PancakeSwap vay một lượng BNB lớn. Trong cuộc tấn công, hắn đã thao túng các cặp BUNNY/BNB và USDT/BNB.

Sau đó, khoản vay nhanh đã cung cấp cho hacker một lượng token BUNNY lớn, hắn ngay lập tức bán phá giá, trả lại BNB và biến mất cùng với lợi nhuận. Sự kiện này đã khiến giá của PancakeBunny giảm mạnh từ $146 xuống còn $6,17.

Làm Sao Để Tôi Ngăn Chặn Một Cuộc Tấn Công Khoản Vay Nhanh?

Vì các cuộc tấn công liên tục xảy ra, các chuyên gia bảo mật đang tìm hiểu thêm về những cách lợi dụng khoản vay nhanh. Tất cả mọi lỗ hổng trong các ví dụ được đề cập ở trên đã được vá và các lỗ hổng xuất hiện đã dẫn đến hai giải pháp phổ biến.

Nguồn Cấp Dữ Liệu Giá Phi Tập Trung

Hầu hết các cuộc tấn công khoản vay nhanh phụ thuộc vào thao túng giá, nên cần phải ngăn cản hành động này bằng nguồn cấp dữ liệu giá phi tập trung. Ví dụ điển hình là Chainlink và Band Protocol. Các nền tảng này giữ cho tất cả giao thức an toàn bằng cách đưa ra mức giá chính xác cho các loại từng tiền điện tử.

Chẳng hạn như các cuộc tấn công DeFi như vụ dYdX sẽ không thể thực hiện được vì các giao thức không nhận nguồn cấp dữ liệu giá cả từ một DEX duy nhất.

Alpha Homora hiện đang sử dụng Alpha Oracle Aggregator để ngăn lịch sử tự lặp lại. Chúng ta sẽ thấy nhiều hệ thống như thế này hơn khi quy mô thị trường DeFi không ngừng tăng trưởng.

Triển Khai Nền Tảng Bảo Mật DeFi

Hệ sinh thái DeFi với các công nghệ tiên tiến đang định hình lại viễn cảnh của các hệ thống tài chính quốc tế. Điểm đáng chú ý này đang đặt gánh nặng lớn lên toàn bộ hệ thống.

Tin tốt là đã có những nền tảng nhất định để giải quyết các thách thức bảo mật hiện tại và OpenZeppelin là một ví dụ tiêu biểu. Vai trò của nó trong hệ sinh thái là bảo vệ các smart contract và nền tảng DeFi nói chung.

Ngoài khả năng kiểm tra smart contract, các giải pháp như Defender Sentinels có khả năng bảo vệ liên tục nền tảng khỏi các cuộc tấn công khoản vay nhanh. Nhà phát triển có thể sử dụng công cụ này để tự động hóa các chiến lược phòng thủ, nhanh chóng tạm dừng toàn bộ hệ thống và tiến hành sửa lỗi.

Hình thức phản ứng nhanh đó thật sự cần thiết để giảm thiểu thiệt hại mà một cuộc tấn công khoản vay nhanh gây ra.

Những ông lớn như Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether và nhiều công ty khác đã và đang sử dụng nền tảng này để vô hiệu hóa các cuộc tấn công vào hệ thống của họ.

Các Khoản Vay Nhanh Có Rủi Ro Không?

Khi mọi thứ hoạt động bình thường, các khoản vay nhanh hoàn toàn không có rủi ro. Người vay và người cho vay sẽ được hưởng lợi từ giao dịch nếu họ đáp ứng tất cả các điều kiện của smart contract.

Từ góc nhìn của người cho vay, họ không phải đưa ra khoản tiền nào. Tất cả đều là nhân tạo và trở thành một phần của thông tin chuỗi blockchain nếu người vay thực hiện tất cả các bước cần thiết. Nếu người vay vỡ nợ, giao dịch sẽ đơn giản là bị từ chối.

Người cho vay vẫn giữ tiền của mình và người vay không nợ bất kỳ ai.

Mặt khác, người vay chỉ có thể lời. Họ có thể sử dụng số tiền đã vay để kiếm lời từ kinh doanh chênh lệch giá trên thị trường crypto. Nếu giao dịch không thành công, tiền đơn giản là quay trở lại người cho vay.

Lý tưởng nhất là thiết kế của hệ thống đảm bảo vay và cho vay xảy ra lập tức, không có rủi ro. Tuy nhiên, để đảm bảo rằng mọi thứ đều không rủi ro, smart contract cần phải kiểm soát được mọi chi tiết trong giao dịch. Bằng cách đó, không có điểm yếu nào để kẻ tấn công lợi dụng.

Do đó, khi nói đến các khoản vay nhanh, rủi ro lớn nhất hiện nay của hệ sinh thái DeFi là rò rỉ dữ liệu, cộng với lỗi của smart contract cho phép các cuộc tấn công có thể xảy ra.

Dù hiện tại mọi thứ chưa hoàn hảo nhưng về sau này, những hệ thống này sẽ trở nên an toàn. Với các nền tảng như Chainlink và OpenZeppelin, các cuộc tấn công khoản vay nhanh chắc hẳn sẽ chỉ còn là lịch sử.

Kết Luận

Các khoản vay nhanh là một bổ sung tuyệt vời cho hệ sinh thái DeFi. Dù hiện tại chúng có nguy cơ bị tấn công, nhưng tình thế sẽ thay đổi trong tương lai.

Khi nhà phát triển viết ra những smart contract tối ưu hơn, nhiều hệ thống triển khai các công cụ bảo mật hơn và dùng nguồn cấp dữ liệu giá cả phi tập trung, số lượng các cuộc tấn công của hacker sẽ ngày càng giảm.

Nếu bạn đang phân vân việc các khoản vay nhanh có phải là khoản đầu tư tốt hay không, chúng tôi tin câu trả lời là có. Hãy nhớ luôn có nguy cơ bị tấn công khoản vay nhanh dù khả năng không cao, vì vậy hãy sử dụng tiền điện tử của bạn một cách cẩn thận khi cho vay trên nền tảng DeFi.

Bạn muốn tìm hiểu thêm về cho vay DeFi không? Bạn có thể tìm thấy tất cả thông tin cụ thể trong hướng dẫn chi tiết trên blog của chúng tôi.