Không giống như những năm trước, tin tức tiền điện tử vào năm 2020 không bị chi phối bởi các vụ hack sàn giao dịch lớn và các vụ trộm Bitcoin hàng triệu đô la. Tuy nhiên, vẫn còn khá nhiều và hầu hết đều bắt nguồn từ lĩnh vực tài chính phi tập trung non trẻ.
DeFi đã là một trong những động lực chính của động lực thị trường tiền điện tử vào năm 2020 và đó là lý do mà bối cảnh tài chính mới nổi đã trở thành một nam châm cho những kẻ lừa đảo và tin tặc. Phần lớn các hợp đồng thông minh chưa được kiểm tra cùng với mã nhân bản đã là công thức cho các lỗ hổng và khai thác, thường dẫn đến hàng triệu đô la tài sản kỹ thuật số bị đánh cắp.
A CipherTrace báo cáo từ tháng 11 năm 2020 cho biết trong nửa đầu năm, DeFi đã chiếm 45% tổng số vụ trộm và hack dẫn đến mất hơn 50 triệu đô la. Con số đó đã tăng lên 50% tổng số vụ trộm và hack trong nửa cuối năm, theo báo cáo. Phát biểu với Cointelegraph, Giám đốc điều hành CipherTrace Dave Jevans đã cảnh báo về một cuộc đàn áp quy định tiềm năng: “Các vụ hack DeFi hiện chiếm hơn một nửa số vụ hack tiền điện tử vào năm 2020, một xu hướng đang thu hút sự chú ý từ các nhà quản lý.”
Ông nói thêm rằng mối quan tâm lớn hơn đối với các cơ quan quản lý là việc thiếu tuân thủ Chống rửa tiền: “Các khoản tiền bị đánh cắp trong vụ hack lớn nhất năm 2020 – vụ hack KuCoin trị giá 280 triệu đô la – đã được rửa bằng giao thức DeFi.” Jevans cũng tin rằng năm 2021 có khả năng mang lại sự rõ ràng từ các nhà quản lý về những hành động mà các giao thức DeFi dự kiến sẽ thực hiện để tránh hậu quả của việc không tuân thủ AML, Capture the Flag và các biện pháp trừng phạt có thể xảy ra.
Exchange hack vào năm 2020
Vụ hack KuCoin xảy ra vào cuối tháng 9 khi Giám đốc điều hành sàn giao dịch, Johnny Lyu, xác nhận rằng vụ xâm nhập đã ảnh hưởng đến các ví nóng Bitcoin, Ethereum và ERC-20 của công ty, sau khi khóa cá nhân bị rò rỉ..
Đến đầu tháng 10, KuCoin cho biết họ đã xác định được nghi phạm và chính thức tham gia vào cuộc điều tra của cơ quan thực thi pháp luật. Vào giữa tháng 11, sàn giao dịch có trụ sở tại Singapore tuyên bố rằng họ đã thu hồi được 84% số tiền điện tử bị đánh cắp và tiếp tục các dịch vụ đầy đủ cho phần lớn tài sản có thể giao dịch của mình.
Có những vụ hack sàn giao dịch khác trong năm nay, nhưng KuCoin là vụ hack lớn nhất. Vào tháng 2, sàn giao dịch của Ý, Altsbit đã mất gần như toàn bộ số tiền của mình trong một vụ hack 70.000 đô la và đã có một vài vụ vi phạm sàn giao dịch tiền điện tử nhỏ khác. Vào tháng 10 năm 2020, có tới 75 sàn giao dịch tiền điện tử tập trung đã đóng cửa do nhiều lý do khác nhau, hack là một.
Khai thác và tấn công năm 2020 của DeFi
Với hàng tỷ đô la đổ vào các giao thức DeFi và các trang trại năng suất, bối cảnh đang nổi lên trở thành một điểm nóng cho tin tặc. Sự xâm nhập lớn đầu tiên của năm 2020 đã xảy ra trên nền tảng cho vay DeFi bZx vào tháng Hai khi hai lần khai thác khoản vay nhanh dẫn đến việc mất gần 1 triệu đô la tiền của người dùng. Khoản vay nhanh là khi tài sản thế chấp tiền điện tử được vay và hoàn trả trong cùng một giao dịch.
bZx đóng băng các hoạt động để ngăn chặn tổn thất thêm, nhưng điều này đã tạo ra một làn sóng chỉ trích từ các nhà quan sát trong ngành cho rằng xét cho cùng thì nó cũng là một nền tảng tập trung và có thể là “cái chết của DeFi”.
Các thị trường đã sụp đổ vào tháng 3 dẫn đến nhiều vụ thanh lý tài sản thế chấp, đặc biệt là đối với mã thông báo MKR của Maker, nhưng đây không phải là các vụ hack. Sự kiện tiếp theo trong số đó xảy ra vào tháng sau khi một phiên bản bao bọc của Bitcoin có tên là imBTC bị tấn công bằng cách sử dụng một thứ gọi là phương pháp reentrancy tiêu chuẩn mã thông báo ERC-777. Kẻ tấn công đã có thể hút một lượng thanh khoản Uniswap cho tất cả giá trị của nó, ước tính là 300.000 đô la vào thời điểm đó.
Tháng 4 cũng chứng kiến nền tảng cho vay của Trung Quốc dForce rút hết thanh khoản bằng cách sử dụng cùng một cách khai thác. Hacker liên tục tăng khả năng vay mượn các tài sản khác của họ và kiếm được khoảng 25 triệu đô la tiền quỹ.
Vào tháng 6, một khai thác đã được phát hiện trong các hợp đồng thông minh của Bancor dẫn đến thoát nước lên tới 460.000 đô la trong các mã thông báo. Nhà sản xuất thị trường tự động DeFi tuyên bố rằng họ đã triển khai một phiên bản mới của hợp đồng thông minh đã sửa lỗ hổng.
Balancer là giao thức DeFi tiếp theo được khai thác với mức 500.000 đô la trong Ether được bọc lấy cắp từ các nhóm thanh khoản của nó bằng cách sử dụng một cuộc tấn công chênh lệch giá được lên kế hoạch tốt. Một loạt các khoản vay nhanh và hoán đổi mã thông báo được phân quyền đã được thực hiện trong một cuộc tấn công vào một lỗ hổng mà nhóm Balancer dường như đã biết về.
Không phải là một vụ hack quá nhiều như một vụ khai thác khác, nhưng bZx lại xuất hiện trong tin tức vào tháng 7 với một đợt bán mã thông báo đáng ngờ bị thao túng bởi các bot đặt lệnh mua trong cùng một khối đánh dấu sự kiện tạo mã thông báo bắt đầu. Những kẻ tấn công chiếm gần nửa triệu đô la lợi nhuận từ việc bơm giá.
Giao thức tùy chọn DeFi Opyn là nạn nhân tiếp theo vào tháng 8 khi tin tặc khai thác các hợp đồng ETH Put của nó đang kiếm được hơn $ 370,000. Việc khai thác cho phép những kẻ tấn công “thực hiện gấp đôi” Ethereum Đặt oTokens và đánh cắp tài sản thế chấp. Opyn đã thu hồi khoảng 440.000 USDC từ các kho tiền còn tồn đọng bằng cách sử dụng hack mũ trắng, trả lại chúng một cách hiệu quả cho người bán Đặt.
Một lần nữa, không phải là một vụ hack trực tiếp mà là một lỗ hổng mã trong hợp đồng thông minh Yam Finance chưa được kiểm toán đã ảnh hưởng đến sự phục hồi của mã thông báo quản trị, dẫn đến sự sụp đổ giá vào giữa tháng 8. Giao thức đã buộc phải kêu gọi cá voi DeFi cứu nó bằng cách bỏ phiếu cho khởi động lại như phiên bản 2.
Khi cuộn Sushi
Câu chuyện SushiSwap bắt đầu vào cuối tháng 8 và các thuật ngữ “khai thác ma cà rồng” và “kéo thảm” đã được đặt ra. Người quản lý và nhân bản giao thức ẩn danh được gọi là “Chef Nomi” đã bán mã thông báo SUSHI trị giá 8 triệu đô la khiến giá mã thông báo giảm xuống. Vài ngày sau, giao thức đã được cứu bởi Giám đốc điều hành sàn giao dịch FTX, Sam Bankman-Fried, người được trao quyền kiểm soát bởi một tập đoàn cá voi DeFi thông qua một hợp đồng thông minh có nhiều chữ ký. Cuối cùng, tất cả số tiền đã được trả lại cho quỹ nhà phát triển.
Việc kéo tấm thảm, hay còn gọi là “bơm và đổ” như chúng được gọi trong thời kỳ bùng nổ altcoin trước đó vào năm 2017, tiếp tục với một số bản sao DeFi như Pizza và Hotdog. Giá token cho các trang trại thực phẩm này tăng và giảm trong vài giờ và đôi khi thậm chí vài phút.
Vào giữa tháng 10, một đám “nông dân thoái hóa” hay còn gọi là những kẻ chết tiệt, đã chất đống tiền vào một hợp đồng thông minh chưa được kiểm toán và chưa được phát hành từ người sáng lập giao thức DeFi, Andre Cronje, Andre Cronje. Hợp đồng Tài chính Eminence đã mất 15 triệu đô la khi nó bị tấn công trong vòng vài giờ sau khi Cronje đăng các đoạn giới thiệu về “trò chơi đa vũ trụ” mới trên twitter. Tin tặc đã trả lại khoảng 8 triệu đô la nhưng vẫn giữ phần còn lại, điều này khiến các nhà giao dịch bất mãn bắt đầu hành động pháp lý chống lại nhóm Yearn vì số tiền bị mất.
Vào cuối tháng 10, một cuộc tấn công chênh lệch cho vay chớp nhoáng tinh vi vào giao thức Harvest Finance đã dẫn đến việc mất 24 triệu đô la tiền ổn định trong khoảng bảy phút. Cuộc tấn công đã làm dấy lên cuộc tranh luận về việc liệu những khai thác thiết kế của hệ thống có thể được coi là hack hay không.
Tháng 11 là một tháng đặc biệt đau đớn đối với Akropolis, công ty đã phải “tạm dừng giao thức” khi tin tặc kiếm được 2 triệu đô la trong DAI stablecoin. Giao thức Value DeFi đã mất 6 triệu đô la trong một vụ khai thác khoản vay nhanh quá phổ biến, dự án stablecoin tạo ra lợi nhuận cho dự án Origin Dollar được khai thác với giá 7 triệu đô la và Pickle Finance đã phải chịu tổn thất tài sản thế chấp 20 triệu đô la trong một chiếc lọ tinh vi “‘ evil jar" khai thác.
Một cuộc tấn công phá vỡ khuôn mẫu khai thác hệ thống là một cuộc tấn công cá nhân vào một cá nhân vào giữa tháng 12. Người sáng lập giao thức Nexus Mutual DeFi Hugh Karp đã mất 8 triệu đô la từ ví MetaMask của mình khi một hacker xâm nhập vào máy tính của anh ta, giả mạo một giao dịch. Các loại tấn công này thường ít phổ biến hơn vì chúng liên quan đến một số mức độ kỹ thuật xã hội.
Cuộc tấn công cho vay nhanh được báo cáo cuối cùng trong năm, cho đến nay, là một cuộc tấn công 8 triệu đô la vào Warp Finance vào ngày 18 tháng 12.
Nhiều nhà đầu tư và thương nhân bán lẻ cũng đã sa lưới các nỗ lực lừa đảo và chủ sở hữu ví phần cứng Ledger cũng đã bị nhắm mục tiêu vào năm 2020 sau khi thông tin cá nhân của khoảng 272.000 người mua Ledger bị tấn công.
Trận chiến làm cứng DeFi
Phần lớn các hoạt động khai thác hợp đồng thông minh và khoản vay nhanh vào năm 2020 sẽ giúp củng cố hệ sinh thái tài chính mới nổi khi nó phát triển. Các giao thức DeFi mới và thông minh hơn có thể sẽ xuất hiện vào năm tới, nhưng, như mọi khi, những kẻ lừa đảo, tin tặc và tội phạm mạng cũng sẽ phát triển trò chơi của họ trong nỗ lực đi đầu.
Cần phải hết sức cảnh giác và chú ý để đi sâu vào thế giới hiện tại của DeFi, nhưng nó đã đi được một chặng đường rất dài trong một khoảng thời gian ngắn như vậy và bối cảnh tài chính phi tập trung trong tương lai không ngừng phát triển.