Tìm ra ai sẽ đổ lỗi cho các vấn đề bảo mật dai dẳng của DeFi

Lĩnh vực tài chính phi tập trung tiếp tục trở nên phổ biến chưa từng có khi tổng giá trị tài sản bị khóa trong các sản phẩm DeFi tăng gấp đôi lên hơn 4 tỷ đô la vào tháng 7 và hiện tại đến gần mốc 5 tỷ đô la. 

Đồng thời, nhu cầu ngày càng tăng đối với các ứng dụng như vậy giữa người dùng và nhà phát triển khiến nó trở thành mục tiêu của những kẻ xấu, do bị thu hút bởi quyền truy cập trực tiếp vào quỹ. Trong vài tháng qua, tin tặc đã đánh cắp hơn 27 triệu đô la từ các dự án DeFi và nhiều cuộc tấn công dự kiến ​​sẽ xảy ra trong tương lai gần. Nếu đúng như vậy, lĩnh vực DeFi có phụ thuộc mạnh mẽ vào Ethereum để bảo mật không và liệu việc ra mắt ETH 2.0 có mang lại nhiều cải tiến hơn trong lĩnh vực đó không?

Ứng dụng DeFi là sàn giao dịch tiền điện tử mới dành cho tin tặc

Trong khi trong năm 2018–2019, các sàn giao dịch tiền điện tử là mục tiêu số một cho các cuộc tấn công của tin tặc, thì vào năm 2020, thị trường tài chính phi tập trung đã lọt vào tầm ngắm. Điều này phần lớn có thể xảy ra do các lỗ hổng trong hợp đồng thông minh của nền tảng và cơ chế bảo mật không hoàn hảo về mặt kỹ thuật. Đồng thời, như lịch sử của các vụ hack cho thấy, những kẻ tấn công không chỉ sử dụng các lỗ hổng mà còn sử dụng các khả năng hợp pháp khác nhau của blockchain để thực hiện các cuộc tấn công.

Đây là cách các tin tặc tấn công Opyn vào đầu tháng 8, một giao thức mà mỉa mai tuyên bố là đối phó với bảo vệ DeFi. Khoảng 371.000 đô la đã bị đánh cắp do khai thác mã thông báo gốc của dự án, theo đó một cuộc tấn công chi tiêu kép vào các tùy chọn đặt Ethereum đã được thực hiện, cấp quyền truy cập vào quỹ của người dùng.

Trước đó, một lỗ hổng trong mã hợp đồng thông minh đã dẫn đến một vụ hack khác của dự án DeFi, trong đó 25 triệu đô la bị đánh cắp từ giao thức cho vay phi tập trung Lendf.me và sàn giao dịch tiền điện tử phi tập trung Uniswap. Cả hai nhóm nhà phát triển đều xây dựng các tiện ích bổ sung của riêng họ trên đầu giao thức ERC-777, làm cho các hợp đồng thông minh dễ bị tấn công bởi các cuộc tấn công gần đây. Trong một cuộc tấn công như vậy, tin tặc rút tiền liên tục cho đến khi giao dịch ban đầu của họ được chấp thuận hoặc bị từ chối.

Một vụ hack khác xảy ra vào ngày 28 tháng 6, một lần nữa vì một lỗ hổng mã. Tin tặc đã đánh cắp hơn 500.000 đô la ETH và các loại tiền thay thế khác từ nền tảng Balancer thông qua việc khai thác cơ chế giảm phát mã thông báo của nó để phá hủy 1% số tiền giao dịch sau mỗi lần chuyển tiền.

Ethereum có đáng trách không?

Rõ ràng, gót chân Achilles của các dự án DeFi là các lỗi và lỗ hổng trong các mã hợp đồng thông minh, nhưng chính xác thì điều gì hoặc ai phải chịu trách nhiệm về điều này? Có phải các nhà phát triển DeFi không kiểm tra hoặc kiểm tra mã đúng cách trước khi khởi chạy ứng dụng của họ hay lỗi nằm ở kiến ​​trúc của Ethereum, có nghĩa là điều đó phụ thuộc rất ít vào các nền tảng?

Một mặt, như Brian Kerr, Giám đốc điều hành của nền tảng cho vay DeFi Kava Labs, trước đây đã nói với Cointelegraph, kiến ​​trúc của chuỗi khối Ethereum không có khả năng đáp ứng các nhu cầu bảo mật của lĩnh vực DeFi vì việc kiểm tra các lỗi có thể xảy ra gần như không thể trong ngôn ngữ lập trình Solidity.

Tuy nhiên, hầu hết các nền tảng DeFi được xây dựng trên khuôn khổ chuỗi khối Ethereum và do đó, đang thử nghiệm với mã nguồn ban đầu, đặc biệt nếu kết quả của các thử nghiệm này không được kiểm tra kỹ lưỡng trước khi ra mắt phiên bản cuối cùng của sản phẩm, có khả năng mở ra cánh cửa cho tin tặc.

Shayan Eskandari, một kỹ sư bảo mật và kiểm toán viên tại ConsenSys Diligence, nói với Cointelegraph rằng hầu hết các vụ hack DeFi đều xảy ra trước các thay đổi do các nhà phát triển thực hiện ngay trước khi ra mắt nền tảng. Ví dụ: ERC-20 không được triển khai theo cách tiêu chuẩn hoặc một số thiết kế mã thông báo mới đã thêm các chức năng làm thay đổi hành vi của mã thông báo ERC-20, gây ra các vấn đề không lường trước được. Theo Eskandari, những thay đổi như vậy đã dẫn đến các cuộc tấn công nhóm Balancer và vụ hack Lendf.me.

Điều này cho thấy rằng trong một số trường hợp, các nhóm làm việc trên các nền tảng cụ thể phải chịu trách nhiệm. Trong cuộc trò chuyện với Cointelegraph, Arnie Hill, Giám đốc điều hành của Plutus DeFi – một công ty tổng hợp DeFi đầy đủ – lưu ý rằng hầu hết các nhà phát triển DeFi không quan tâm đầy đủ đến bảo mật, vì họ đang ở giai đoạn đầu phát triển sản phẩm: “Ngày nay các nhà phát triển đang trả tiền quan tâm nhiều hơn đến khía cạnh kỹ thuật và vốn hóa, tập trung vào cách xây dựng các dịch vụ cho vay trên blockchain, hơn là tính bảo mật của các hợp đồng thông minh ”.

Ngoài ra, sự phức tạp của các sản phẩm DeFi đóng vai trò như một trò đùa tàn nhẫn với chúng, theo nói với Larry Sukernik, nhà đầu tư của Digital Currency Group: “Bạn có được những người có bộ não lớn cần phải hoạt động. Và khi chúng được đưa vào hoạt động, kết quả thường là một sản phẩm phức tạp, rực rỡ nhưng không thể sử dụng được. “

Charlie Lee, người tạo ra Litecoin (LTC), trước đây đã tuyên bố rằng phân quyền là nguyên nhân gây ra mọi thứ. Sự phân quyền thực sự là lý do dẫn đến việc hack giao thức tùy chọn Opyn, vì nhóm không thể kiểm soát hoặc tạm thời vô hiệu hóa nó trong trường hợp bị tấn công.

Tuy nhiên, sự hiện diện của tin tặc là một điều tự nhiên, vì ngành công nghiệp này còn non trẻ. Tuy nhiên, khi lĩnh vực DeFi phát triển, các nhà phát triển của nó nên nhận thức rõ ràng về các rủi ro bảo mật ngày càng tăng và nỗ lực giảm thiểu chúng, theo Hill:

“Việc mở rộng thị trường đòi hỏi phải sử dụng các cơ chế bảo vệ nghiêm túc hơn và hợp tác với các cơ quan quản lý và kiểm toán. Cuối cùng, đây không còn là một mạng lưới các DApp nữa mà là một thị trường tài chính trị giá hàng tỷ đô la đang ở giai đoạn đầu của quá trình phát triển và do đó, các vụ hack là không thể tránh khỏi, giống như với kỹ thuật số. ngành ngân hàng một số năm trước đây. ” 

Theo thông tin mới nhất báo cáo được xuất bản bởi công ty nghiên cứu Dgen phối hợp với giao thức DeFi mã nguồn mở Aave, kể từ khi các dự án DeFi trở thành mục tiêu tấn công, các nhà phát triển đã bắt đầu làm việc trên các hộp cát và các khuôn khổ rõ ràng để giải quyết tranh chấp. Các nhà phân tích cũng lưu ý rằng miễn là mở rộng quy mô là ưu tiên cao nhất cho các nhà phát triển DeFi ngay bây giờ, các vụ hack lớn tương tự như sự cố DAO năm 2016 sẽ có thể xảy ra một lần nữa.

Một vấn đề khác có thể xảy ra đằng sau các dự án tài chính phi tập trung là chúng dựa vào các phép đo dữ liệu để cung cấp dữ liệu quan trọng như giá tài sản. Paul Claudius, đồng sáng lập của DIA – một nền tảng tiên tri nguồn mở DeFi của Thụy Sĩ – đã nói với Cointelegraph rằng:

“Hiện tại, hầu hết các dự án DeFi thiếu giải pháp dữ liệu định giá minh bạch, mã nguồn mở và đáng tin cậy. Nhiều người thậm chí không chia sẻ phương pháp luận được sử dụng bởi oracles để làm dữ liệu định giá. Điều này tạo ra những rủi ro đáng kể vì các tác nhân xấu có thể khai thác cả lỗ hổng công nghệ và phương pháp luận với các nguồn dữ liệu không đáng tin cậy ”.

Kiểm toán, thẩm định và bảo hiểm

Vì vậy, có bất cứ điều gì mà nhóm DeFi có thể làm để giảm thiểu rủi ro bảo mật, vì có nhiều sản phẩm duy trì thành công mức độ bảo mật cao cho quỹ của chính họ và người dùng?

Marc Zeller, trưởng nhóm tích hợp tại Aave, nhấn mạnh tầm quan trọng của việc tiến hành các thủ tục thẩm định trước khi thêm mã thông báo mới vào nền tảng DeFi để giúp tránh các vụ hack lớn trong các giao thức. Ông cũng lưu ý rằng các dự án xử lý tài chính phi tập trung có thể sử dụng dịch vụ của các công ty bảo hiểm để bảo vệ hơn nữa tiền của người dùng, mặc dù điều này không phải lúc nào cũng đủ. 

Phát biểu về vai trò của bảo hiểm trong việc chống lại hack, Kain Warwick, người sáng lập nền tảng tài sản tổng hợp Synthetix, nói rằng bảo hiểm DeFi rất hạn chế, nói thêm: “DeFi vẫn có rủi ro lớn đáng kể, vì vậy bảo hiểm có thể vẫn rất tốn kém trong ngắn hạn, nhưng khi các giao thức trưởng thành, chi phí sẽ giảm xuống […] cho phép đơn giản hơn và hữu ích hơn bảo hiểm xuất hiện. “

Bảo hiểm là tốt để có nếu cuộc tấn công đã xảy ra, nhưng nếu nhiệm vụ là ngăn chặn nó, kiểm tra và theo dõi các giao dịch đáng ngờ là những gì các dự án DeFi cần để phát hiện và sửa chữa các lỗ hổng trong mạng trước khi các lỗ hổng mã bị tin tặc khai thác. Các nhà phân tích chỉ ra rằng các sàn giao dịch tiền điện tử đóng một vai trò quan trọng trong việc theo dõi và khóa các loại tiền điện tử có thể đến từ các nền tảng bị tấn công.

Liên quan: Vụ tấn công DeFi: Tài chính phi tập trung nên và không nên làm gì?

Khi ngành mở rộng quy mô, các nhà phát triển DeFi ngày càng quan trọng hơn trong việc hợp tác với các cơ quan quản lý và làm việc trên cả hộp cát và các khuôn khổ rõ ràng cho phép giải quyết tranh chấp và phân xử nếu xảy ra hack. Theo Hill:

“Việc mở rộng thị trường đòi hỏi phải sử dụng các cơ chế bảo vệ nghiêm túc hơn và hợp tác với các cơ quan quản lý và kiểm toán. Vào cuối ngày, đây không còn chỉ là một mạng lưới các DApp nữa mà là một thị trường tài chính trị giá hàng tỷ đô la đang ở giai đoạn đầu của quá trình phát triển ”.

Liệu ETH 2.0 có mang lại bảo mật nhiều hơn không?

Một số người tin rằng cùng với khả năng mở rộng, việc nâng cấp mạng sẽ mang lại bảo mật cho DeFi, trong khi những người khác nói rằng việc chuyển đổi Ethereum 2.0 sang thuật toán bằng chứng cổ phần sẽ khiến ngành DeFi gặp nguy hiểm lớn hơn. Dựa trên nghiên cứu của nhà phân tích Tarun Chitra, nhà đầu tư Haseeb Qureshi của Dragonfly Capital đã đến kết luận rằng các giao thức DeFi chạy ngược với cơ chế bảo mật mạng dựa trên thuật toán PoS. Vấn đề là các khoản tiền bị khóa trong DeFi cho vay không tham gia vào việc đặt cược và do đó, là một bảo mật.

Các nhà phân tích của MolochDao đã xác nhận rằng việc chuyển sang ETH 2.0 có thể mở ra các vectơ tấn công mới cho các ứng dụng DeFi. Tuy nhiên, có một mặt tích cực – các cuộc tấn công vào ETH 2.0 dễ mở rộng hơn các cuộc tấn công vào ETH 1.0.

Liên quan: Sử dụng tốt: Ethereum nâng cao con số nghiêm trọng để đặt điểm chuẩn

Trước khi triển khai, ngành công nghiệp DeFi sẽ phải đối mặt với nhiều cuộc tấn công mới, theo các nhà phân tích Tanner Hoban và Tom Borgers của Consensys, đặc biệt là trong giai đoạn đầu tiên của quá trình chuyển đổi sang Ethereum 2.0. Lý do là khi bắt đầu chuyển đổi, người xác nhận phải chặn ETH của họ cho đến khi chuỗi bằng chứng công việc được hợp nhất hoàn toàn với chuỗi bằng chứng cổ phần. Điều này sẽ làm giảm tính thanh khoản và theo các tác giả nghiên cứu, có thể dẫn đến việc tập trung hóa.

Vì vậy, có khả năng các sản phẩm DeFi sẽ lại phải đối mặt với các vụ tấn công lớn, nhưng với sự phát triển của các công cụ kiểm toán và bảo hiểm, cũng như sự gia nhập thị trường của các cơ quan quản lý toàn cầu, sản phẩm cuối cùng sẽ trở nên an toàn hơn. Ethereum 2.0 có thể bổ sung thêm con ruồi của riêng nó trong thuốc mỡ, nhưng với việc triển khai chậm và dần dần mô hình mới và thử nghiệm đầy đủ, rủi ro có thể được giảm thiểu.