onDEX Community

Cover image for Bỏ túi 10 hình thức tấn công DeFi & các giải pháp
Lee Hoong Sown
Lee Hoong Sown

Posted on • Originally published at coin98.net

Bỏ túi 10 hình thức tấn công DeFi & các giải pháp

Thị trường đi xuống là lúc những hình thức lừa đảo, tấn công, rug pull nổi lên. Bản thân mình cũng là một người dùng DeFi và thường xuyên trải nghiệm các dự án khác nhau. Do đó việc trang bị kiến thức giúp bảo vệ tài sản của bản thân là một điều thiết yếu, đặc biệt là trong khoảng thời gian này.

Phía dưới là danh sách 10 hình thức tấn công DeFi nổi bật hiện nay. Trong số này có khá nhiều hình thức tấn công tinh vi mà nhiều người dùng chưa biết. Đây là tập hợp các chiêu trò cơ bản thường được kẻ xấu sử dụng cho người mới đặt chân vào Crypto nói chung.

Tấn công bằng Oracle

Oracle nói đơn giản là hệ thống cung cấp thông tin giá cả cho các loại tài sản, các dự án DeFi phụ thuộc rất nhiều vào oracle để có những cập nhật về giá. Tưởng tượng nếu giá của token A ngoài thị trường là 10 USD nhưng ở trong một DeFi protocol hiển thị là 100 USD thì người dùng sẽ làm gì? Tất nhiên là mua token A ở thị trường và bán ở trên protocol đó để kiếm lời. Điều này tạo ra thiệt hại cho protocol đó và những ai đã cung cấp tài sản vào protocol đó.

Giải pháp:

Để tránh gặp phải trường hợp trên và có những thiệt hại không đáng có, người dùng nên sử dụng những DeFi protocol tích hợp oracle của các bên uy tín. Điều này sẽ giúp giảm đáng kể rủi ro từ các vụ tấn công bằng oracle nói chung.

Image description

Oracle của Chainlink đang bảo vệ cho phần lớn tài sản của Crypto

Tấn công sử dụng flash loans

Flash Loans là hình thức vay không cần tài sản thế chấp (uncollateralized) với điều kiện số tiền vay phải được trả lại cho nền tảng cho vay trong cùng một giao dịch. Nói cách khác, người dùng vay sau đó làm ABC với khoản vay đó, cuối cùng trả lại số tiền đã vay, tất cả hoạt động đó được diễn ra trong 1 giao dịch.

Gần như tất cả vụ tấn công sử dụng flash loans đều được lập trình và thực hiện bởi những con bot. Do đó chủ của những con bot đó có thể kiếm được tiền ngay cả khi đang ngủ và những DeFi protocol có chênh lệch giá (thường do lỗi từ oracle) chính là những miếng mồi ngon cho các con bot này.

Lấy ví dụ từ việc tấn công bằng Oracle ở trên, trong trường hợp người dùng thấy cơ hội giao dịch chênh lệch giá token A từ 10 lên 100 USD nhưng họ lại không có tiền mà chỉ có token B thì phải làm gì?

⇒ Sử dụng token B làm tài sản thế chấp vay ra token A hoặc ETH/USDC… để mua token A và bán lấy lời trên DeFi protocol có lỗi oracle, sau đó trả nợ và lấy lại token B.

Ví dụ được mình đơn giản hóa, các hình thức tấn công sử dụng flash loans có thể có nhiều hình thức khác nhau và phức tạp hơn nhiều.

Image description

Với flashloans, kẻ tấn công khiến giá của tài sản thay đổi và kiếm lời từ khoản chênh lệnh đó - Link tham khảo

Giải pháp:

Hầu hết các dự án bị flashloans attack là do lỗi của dịch vụ oracle hoặc tỷ trọng tài sản không đồng đều trong pool. Người dùng nên ưu tiên dự án sử dụng dịch vụ oracle uy tín và những dự án có volume giao dịch ổn định (khi có nhiều người sử dụng chỉ cần một chênh lệch giá nhỏ thì sẽ có người giao dịch chênh lệch giá, từ đó giúp ổn định tỷ trọng trong pool).

Tấn công bằng quyền quản trị (51% attack)

Nếu kẻ tấn công có thể sở hữu một lượng lớn token quản trị, chúng có thể lợi dụng cơ chế quản trị của protocol và tìm cách kiếm lời cho bản thân. Hình thức trên được gọi là 51% attack và có thể được kết hợp với flash loan để tạo ra cuộc tấn công mà kẻ xấu không cần sở hữu token của dự án.

Ví dụ, một DeFi protocol có cơ chế chỉ cần hơn 50% lượng token A đồng ý cho một đề xuất nào đó thì đề xuất đó sẽ được thông qua. Kẻ xấu sử dụng flash loans và vay đủ 51% lượng token A (hoặc vay tiền để mua token A), sau đó hắn tạo và thông qua đề xuất gửi 100 triệu USDC cho mình. Cuối cùng hắn chỉ việc trả nợ cùng một khoản phí và bỏ túi cho mình khoản lời 100 triệu USDC.

Trường hợp này đã từng xảy ra với Beabstalk và kẻ xấu đã bỏ túi 182 triệu USDC. Chi tiết anh em có thể tham khảo tại đây.

Giải pháp:

Để tránh các dự án có nguy cơ bị tấn công bằng quyền quản trị, người dùng nên chọn lựa những DeFi protocol có cơ chế quản trị chặt chẽ hoặc có rào cản lớn với kẻ tấn công. Ví dụ như chúng ta sẽ lựa chọn những dự án có tỷ lệ đồng thuận cao thì đề xuất mới được thông qua hoặc chọn những dự án mà kẻ tấn công phải sở hữu một số tài sản cực lớn để nắm đủ lượng token cần thiết để thông qua đề xuất.

Front running

Front-running là việc lợi dụng việc BIẾT TRƯỚC một giao dịch trong tương lai có tác động đến giá cả và đặt lệnh ngay trước giao dịch đó để kiếm lời cho bản thân. Với thiết kế của Ethereum hoặc các blockchain tương tự (tham khảo chi tiết ở link trên) đã tạo điều kiện để các bot kiếm lời bằng việc front run các giao dịch khác.

Ví dụ:

Image description

Ví dụ về front-running bot. Txs hash: giao dịch 1, giao dịch 2, giao dịch 3

Ví dụ về cặp USDC-SAK3, ta có thể thấy ngay giữa lệnh mua 1 SAK3 có 2 lệnh mua và bán đồng thời 0.4x SAK3 từ cùng một địa chỉ, đây chính là điển hình của việc người dùng bị front-run trong crypto. Nhìn vào chi tiết txs hash ở trên, chỉ qua 2 lệnh giao dịch, con bot này đã bỏ túi hơn $1,500 khi mua 0.4x SAK3 ở giá $7,473 và bán đi với giá $9,013.

Giải pháp:

Để người dùng hạn chế việc bị front-run một vài giải pháp có thể áp dụng bao gồm:

  • Chia nhỏ giao dịch.
  • Chỉnh slippage thấp.

Tấn công bằng admin key

Nhiều protocols có “admin key” cho phép một ví đặc biệt có quyền kiểm soát quỹ của protocol. Nếu admin key bị tấn công, quỹ có thể sẽ bị đánh cắp.

Ví dụ điển hình có thể kể tới vụ tấn công vào EasyFi, admin key của CEO EasyFi đã bị tấn công và kẻ xấu đã lấy được 6 triệu USD từ pool thanh khoản và 2.98 triệu token EASY (trị giá 75 triệu USDC vào thời điểm đó). Chi tiết anh em có thể tham khảo tại đây.

Giải pháp:

Chọn lựa dự án cẩn thận, không đầu tư quá nhiều tài sản cho những dự án có team hoặc backer không chất lượng hoặc ít thông tin. Cẩn thận với những protocol có “admin key” và quá nhiều quyền lực tập trung ở một người hoặc một nhóm nào đó.

Front-ends lừa đảo

Front-ends là giao diện hiển thị cho app mà bạn sử dụng, khi người dùng tương tác trên giao diện đó thì sẽ tác động đến các yếu tố nằm dưới (back-ends) giúp người dùng thực hiện được những tác vụ mà mình muốn làm. Phần giao diện này cũng có thể bị tấn công và gây thiệt hại cho người dùng.

Ví dụ cho hình thức tấn công này là Badger DAO với thiệt hại tại thời điểm tấn công lên tới 120 triệu đô. Kẻ tấn công đã nhằm vào API key của Badger DAO khiến người dùng khi tương tác bình thường sẽ cấp quyền chấp nhận không giới hạn (Unlimited approval) cho ví và tạo cơ hội để kẻ xấu rút tài sản từ ví đó.

Image description

Giải pháp:

Luôn kiểm tra kỹ việc approve khi thực hiện giao dịch trên ví. Nếu như bạn tương tác với một dự án lạ và cấp quyền cho dự án đó, thì có thể dùng những tools giúp Revoke như Coin98 Super App hoặc Approved.zone.

Tấn công qua các trang mạng xã hội

Việc có tài khoản ở các mạng xã hội như Discord, Twitter, Telegram là một điều thông thường với người dùng Crypto. Nhu cầu cập nhật tin tức, tìm kiếm cơ hội và tham gia vào các cộng đồng lớn nhỏ đã tạo điều kiện để một bộ phận lừa đảo xuất hiện. Chúng thường giả danh là các thành viên của dự án hoặc chính dự án để mời người dùng truy cập vào các trang web giả mạo hoặc các đường link nguy hiểm.

Đây là hình thức tấn công cực kỳ phổ biến và xuất hiện liên tục, yêu cầu người dùng phải cảnh giác cao độ và tránh bị lừa vì những lợi ích “từ trên trời rơi xuống”.

Image description

Giả mạo làm các dự án uy tín và gửi những đường link mint token với giá hời

Giải pháp:

“Không có bữa trưa nào miễn phí”, nếu như bạn nhận được một món hời đến khó tin dù ở bất kỳ đâu thì gần như chắc chắn đó là lừa đảo. Hình thức tấn công qua các trang mạng xã hội tuy dễ nhận biết nhưng có tần suất xuất hiện liên tục và kẻ tấn công đang ngày càng tinh vi và có nhiều chiêu trò hơn. Người dùng nên đặc biệt lưu ý và cẩn thận với tất cả những yêu cầu liên quan đến tài sản của mình.

Chiếm đoạt tài khoản mạng xã hội

Tinh vi hơn thủ đoạn giả mạo các trang mạng xã hội ở trên, kẻ tấn công sẽ hack và sử dụng tài khoản mạng xã hội của chủ thể để đưa các tin tức sai lệch nhằm chiếm đoạt tài sản người dùng.

Bored Ape instagram, trang mạng xã hội của một trong những bộ sưu tập NFT đình đám nhất hiện nay từng bị hack. Theo đó kẻ tấn công thông báo airdrop cho Bored Ape holder và chỉ cần connect ví là sẽ nhận được airdrop. Một lượng NFTs trị giá 2.8 triệu USD đã bị đánh cắp sau vụ tấn công này.

Image description

Giải pháp:

Cẩn thận khi có những thông báo liên quan đến “Free airdrop, give away,...” kể cả từ những trang mạng xã hội của các dự án tin cậy. Cần xác nhận thông tin với những thành viên của team trước khi tham gia.

Tấn công layer 1

“Độ bảo mật của các smart contract chỉ tương đương với độ bảo mật của blockchain mà chúng chạy phía trên”. Nếu blockchain bị tấn công, mọi dự án phía trên đều sẽ bị ảnh hưởng và gây thiệt hại cho người dùng.

Ethereum Classic, một bản hardfork của Ethereum đã bị tấn công 51% và mất đi niềm tin từ cộng đồng của mình.

Giải pháp:

Tham gia vào những layer 1 uy tín đã được battle test trong một thời gian dài.

Tấn công bởi các bên khác

Chắc hẳn bạn đọc đều biết đến sự kiện UST mất peg, nguồn cơn cho sự sụp đổ của cả một đế chế Terra. Nguyên nhân của vụ tấn công khả năng cao đã có sự sắp đặt sẵn, bởi vì một lượng lớn UST bị rút ra ở Anchor chỉ trong thời gian ngắn, từ đó dẫn đến Panic Sell.

Đây là một sự kiện lớn vượt ra cả ngoài thị trường Crypto khi một công ty từng có giá trị vốn hóa 40 tỷ đô sụp đổ chỉ trong vài ngày. Điều này đã cho thấy tính rủi ro của thị trường vốn còn non trẻ như Crypto khi kể cả các dự án top đầu cũng có thể “biến mất” chỉ trong một thời gian ngắn.

Image description

Vốn hóa của Terra từ 40 tỷ giảm xuống còn hơn 1 tỷ đô chỉ trong một thời gian ngắn

Giải pháp:

Không all in vào một dự án, kể cả chúng thuộc top đầu thị trường. Kiếm tiền trong Crypto không hề dễ và ta không nên đặt quá nhiều niềm tin vào một dự án nào đó. Anh em có thể tham khảo 5 bài học "để đời" nhờ sự kiện UST & LUNA sập mạnh từ một người chuyên follow hệ Terra chia sẻ để có thêm kinh nghiệm cho bản thân.

Lời kết

“Để kiếm được tiền, bạn phải giữ được tiền đã“.

Trong giai đoạn thị trường xấu như vậy, bản thân mình sẽ ưu tiên vào việc bảo vệ tài sản hơn là tập trung vào những cơ hội kiếm tiền rủi ro cao.

Phía trên là Top 10 hình thức tấn công DeFi và cách bảo vệ tài sản của bản thân, hy vọng đã giúp anh em trang bị thêm kiến thức cho việc đầu tư của mình. Anh em đã gặp phải vụ tấn công nào chưa?

Discussion (0)