Hack Defi: Những gì tài chính phi tập trung nên và không nên

DeFi sẽ tiếp tục phát triển trong tương lai bất chấp những khó khăn mà lĩnh vực này phải đối mặt kể từ đầu năm 2020, nhưng hãy cẩn thận bằng cách chọn ai để tin tưởng.

Tài chính phi tập trung, hay gọi tắt là DeFi, đã trở thành một từ thông dụng vào năm 2019 sau khi MakerDao và Compound định giá và đã huy động được vốn từ công ty đầu tư mạo hiểm có trụ sở tại Thung lũng Silicon, Andreessen Horowitz.

Năm 2020 là một năm khó khăn đối với lĩnh vực tiền điện tử DeFi. Cuối tuần qua, hệ sinh thái dForce, Lendf.me đã mất 99,95% tài sản quỹ từ một vụ hack. Chỉ vài ngày sau, tin tặc đã bị rò rỉ thông tin về danh tính của mình dẫn đến việc anh ta đã trả lại hầu hết số tiền đánh cắp. Tin tức này xuất hiện sau thử nghiệm lớn nhất của DeFi, vào ngày 12/3, khi giá ETH giảm mạnh, khiến các hệ thống trở nên quá tải và thất bại. Chịu hậu quả nặng nề nhất là MakerDao, có kiến ​​trúc và cơ sở hạ tầng kém đã bị khai thác do những hạn chế của mạng Ethereum.

• Hai cuộc tấn công liên tiếp vào hai giao thức Defi hàng đầu dẫn đến lượng lớn ETH và BTC token hóa bị đánh cắp

Nền tảng Defi hàng đầu MakerDao đã tích lũy khoản nợ phải trả bằng tiền của công ty đầu tư mạo hiểm của mình. Một tháng sau, DAI gặp vấn đề về tính ổn định và một vụ kiện tập thể trị giá 28,3 triệu đô la đã được đệ trình chống lại Maker Foundation tại Tòa án quận Bắc California vì tội bất cẩn. Người dùng muốn lấy lại tiền của họ.

Trở lại vào ngày 18/4, 25 triệu đô la ETH và BTC đã bị đánh cắp từ những người sử dụng giao thức cho vay Lendf.me. Lendf là một giao thức về bảo mật và là một phần của hệ sinh thái dForce Foundation. Đáng ngạc nhiên, nó thực sự có thể thu thập gần như toàn bộ tiền từ kẻ tấn công khai thác lỗ hổng reentry trong giao thức của nó, cuối cùng anh ta đã trả lại gần như toàn bộ số tiền đã đánh cắp. Sau khi rút hết 25 triệu đô la, hacker đã trả lại 24 triệu đô la trong số đó, giữ lại 1 triệu đô la cho chính bản thân anh ta, cho…., phí GAS và những khó khăn trong thời gian COVID – 19 này.

Trớ trêu thay, hacker đã không trả lại cùng một loại tài sản đã bị đánh cắp, thay vào đó trả lại 24 triệu đô la trong một tổ hợp token khác. Điều này xuất hiện ngay sau thông tin rằng dForce Foundation đã kết thúc vòng đầu tư 1,5 triệu đô la do Multicoin Capital dẫn đầu, với sự tham gia của Huobi Capital và CMB International vào tuần trước. Chúng tôi có thể giả định rằng các khoản tiền này sẽ bù đắp tổn thất từ ​​vụ hack.

Brian Kerr, CEO của nền tảng cho vay DeFi Kava Labs, đã nói về những gì đã xảy ra với dForce khiến nó bị hack. Vào giữa năm 2019, Kava đã công bố stablecoin USDX. Không lâu sau, dForce đã phát hành tên code đánh dấu stablecoin của riêng mình là USDx. Việc sử dụng ticker USDX của Kava cho thấy khả năng sáng tạo hạn chế tại dForce. Robert Leshner, CEO của công ty cho vay DeFi Compound Finance, đã cho biết sau tweet của anh về vụ hack 25 triệu đô la và tuyên bố rằng công ty đã đánh cắp code có thể nhận ra của Compound.

“Xây dựng on-chain là không đúng; bảo mật đòi hỏi sự chu đáo hoàn toàn của đội ngũ. Khi các đội triển khai lại code không phải do chính họ viết, điều đó cho thấy họ không thể biết làm thế nào, hoặc tại sao code này hoạt động, hoặc những rủi ro là gì… Dù nguyên nhân là gì thì đều bất công đối với người dùng. Và người dùng nên yêu cầu tốt hơn”.

Đáng buồn thay, dForce đã trở thành một ví dụ về những gì DeFi không nên có.

Vì vậy, những gì bạn cần biết?

Trong trường hợp của cả MakerDao và dForce, những gì khởi nguồn cho một thảm họa hiện đang trong quá trình giải quyết. Mặc dù một khoản tiền đáng kể vẫn chưa được tính, nhưng trải nghiệm này đã khiến người dùng tìm kiếm các nền tảng cho vay DeFi thay thế mà họ thực sự có thể tin tưởng. Nhiều người dùng đã mất tiền và nhiều người khác cảm thấy cảnh giác từ việc đọc tin tức DeFi những ngày này, ngay cả khi tiền của họ không bị làm tổn hại bởi MakerDao hoặc dForce. Là một lĩnh vực trong không gian tiền điện tử, DeFi vẫn còn rất trẻ.

• Cho vay ETH và DeFi sẽ không đe dọa đến mô hình staking của ETH 2.0 ít nhất là trong ngắn hạn

Đó có thực sự là trách nhiệm của dForce?

Leshner nói rằng công ty dForce “copy/pasted Compound v1 mà không thay đổi”. Theo anh, công ty xác nhận rằng code Compound v1 “không sai sót”, nhưng nhóm này thận trọng về tài sản mà nó liệt kê, theo các tweet của anh ấy. Nhóm dForce đã sao chép code mà nó không hiểu đầy đủ từ Compound và đã triển khai trái phép nó thành code của riêng mình trong khi thay đổi một số phần mà không nhận ra các vấn đề bảo mật liên quan.

Kerr cũng cân nhắc, Kava Labs – một nền tảng cho vay DeFi tương tự như MakerDao, nhưng trong khi MakerDao chỉ chấp nhận token ETH, thì nền tảng Kava chấp nhận bất kỳ tài sản nào bao gồm BTC, XRP, BNB và ATOM, có thể được sử dụng để đúc USDX, stablecoin của nền tảng. Những cột mốc phát triển của nền tảng này đã xuất hiện trước khi dForce không lấy ticker USDX cho stablecoin của riêng họ. Kerr chia sẻ rằng Kava đặt mục tiêu cho USDX trở thành một người chơi lớn trong hệ thống tài chính toàn cầu.

Theo tuyên bố trong bài trả lời của Kerr cho Leshner trên Twitter, dForce đã quảng cáo rất nhiều Lendf.me cho thế giới mà không thực hiện kiểm toán rất cơ bản: “Một cuộc kiểm toán cơ bản từ bất kỳ công ty có uy tín nào cũng sẽ bắt gặp điều này – reentrancy là một vấn đề đã biết và dễ dàng kiểm tra. Ngoài việc đánh cắp code Compound, DForce còn đánh cắp tên và token USDX của Kava, – mặc dù chúng tôi đã thông báo token của mình nhiều tháng thậm chí trước khi họ có một nền tảng. Kerr thừa nhận, nó là một ví dụ khủng khiếp về những gì DeFi không nên”.

Vì niềm tin là nền tảng trung tâm và quan trọng nhất cho mối quan hệ giữa một người và tiền của họ, Kerr tin rằng trách nhiệm thuộc về cả nhóm của dForce và người dùng ứng dụng.

“dForce đã không hiểu những gì họ đang làm và tiếp thị một sản phẩm không an toàn. Người dùng đã không thực hiện trách nhiệm của họ đối với nhóm hoặc codebase để xác định xem sản phẩm có an toàn để sử dụng hay không”.

DeFi không nên táo bạo

Hacker dForce, đã sử dụng token imBTC như “một con ngựa thành Tro” của cuộc tấn công. Leshner giải thích rằng lỗi bảo mật xuất phát từ một cuộc tấn công reentrancy đã biết:

“Đây là một cuộc tấn công theo sau cuộc tấn công imBTC Uniswap ngày hôm qua. imBTC là token ERC-777 và không phải là tài sản Ethereum thông thường. Hợp đồng thông minh bao gồm imBTC phải hết sức thận trọng và viết code bổ sung để bảo vệ chống lại các cuộc tấn công”.

Đây được coi là một lỗ hổng nổi tiếng của tiêu chuẩn ERC-20, đặc biệt là khi được sử dụng trong DeFi.

DeFi không nên hoạt động trên Ethereum

Theo Kerr, kiến ​​trúc của mạng Ethereum không đáp ứng nhu cầu mở rộng và bảo mật của lĩnh vực DeFi, vì mức độ thử nghiệm cần thiết để đạt được tất cả các kết quả là vô hạn trong ngôn ngữ lập trình Solidity, theo Kerr. “Vì những lý do này và nhiều lý do khác, các dự án hàng đầu bao gồm Binance, Cosmos và Kava đã chọn rời khỏi hệ sinh thái Ethereum để có một môi trường hoạt động tốt hơn hoặc hữa hẹn hơn”, anh cho biết.

“Xây dựng bất kỳ dịch vụ tài chính nào trên Mạng Ethereum đều có vấn đề về bảo mật. Việc kiểm tra các kết quả có thể có và lỗi của Solidity là gần như không thể vì nó có thể làm hầu như mọi thứ như một ngôn ngữ Turing hoàn chỉnh. Mặc dù mạnh mẽ, nhưng nó có lẽ là môi trường tồi tệ nhất để xây dựng cơ sở hạ tầng tài chính”, Kerr nói, một trong những đề xuất giá trị của Kava, là nó bắt nguồn từ các tiêu chuẩn bảo mật như là một nền tảng được xây dựng có mục đích cho tất cả các tài sản yêu cầu dịch vụ DeFi an toàn là ưu tiên hàng đầu.

DeFi nên an toàn và bảo mật

Lendf đã tự gọi nó là “giao thức cho vay stablecoin DeFi lớn nhất được hỗ trợ bởi fiat cho đến nay”. Điều khó hiểu của Lendf là nó đã quá tập trung vào việc huy động vốn, tăng trưởng và mở rộng để duy trì “stablecoin được hỗ trợ bởi fiat lớn nhất và tốt nhất”. Thay vì tập trung vào việc cải thiện code để bảo mật, hiểu về cơ sở code của nó, sửa lỗi và phát hành các sản phẩm bảo mật, công ty đã tập trung quá mức vào lợi nhuận và tình trạng nhận thức.

Ví dụ, kiểm toán cơ bản đã bị bỏ qua hoàn toàn và nhóm đã vượt qua các rào cản quá nhanh, dẫn đến lỗ hổng bảo mật vẫn chưa được giải quyết.

Sự kiện này có thể đã được ngăn chặn và người dùng nên thấy điều sắp xảy ra, theo Leshner. Anh đã tweet chi tiết về cách công ty đã đánh cắp code của Compound:

“Nếu một dự án không có chuyên môn để phát triển các hợp đồng thông minh của riêng mình, và thay vào đó đánh cắp và tái sử dụng code có bản quyền khác, thì đó là một dấu hiệu cho thấy họ không có khả năng hoặc không có ý định xem xét bảo mật”.

Sau đó, ông đưa ra cho các nhà phát triển và người dùng một bài học quý giá: Đừng đưa tiền của bạn cho một công ty mà bạn không thể tin tưởng.

DeFi nên tập trung vào người dùng

Kerr chia sẻ:

“Tại Kava, tất cả code của chúng tôi được xây dựng từ đầu, ở Golang, trong các mô-đun rất kín đáo được sắp xếp theo các hành động rất cụ thể mà chúng tôi có thể kiểm tra và xác minh. Điều này có nghĩa là chúng tôi hoàn toàn có thể kiểm tra code với độ tin cậy rất cao về độ chính xác và bảo mật của nó”.

“Chúng tôi coi trọng sự an toàn của tài sản người dùng và đặt nó lên hàng đầu trong mọi việc chúng tôi làm. Chúng tôi chạy thử nghiệm, tiến hành kiểm toán bên thứ 3 và có đánh giá ngang hàng đáng kể trước khi bất kỳ code nào được phát hành trên nền tảng Kava. Hơn nữa, tất cả các code mới phải được xem xét và bình chọn bởi nhóm xác nhận bảo mật và stake KAVA, bao gồm các nhà khai thác am hiểu về kỹ thuật như Binance, OKEx, Huobi, Bitmax, Hashkey, Lemniscap, SNZ, Dokia Capital và Framework Ventures”.

DeFi nên kiểm chứng để tin tưởng

Nó không đủ để tin tưởng vào một công ty chỉ bởi vì họ có các nhà đầu tư tên tuổi, như chúng ta đã thấy là trường hợp của dForce và MakerDao. Tuy nhiên, chúng ta thường nghe “tin tưởng và kiếm chứng” nhưng trong cộng đồng Defi, chúng ta nghe thấy “kiếm chứng và tin tưởng”.

Trong khi Leshner là CEO của Compound, anh cũng là nhà đầu tư cá nhân của Kava Labs cùng với những người ủng hộ hàng đầu khác như Arrington XRP Capital. Đội ngũ kỹ thuật xuất sắc của Kava, và tuân thủ nghiêm ngặt các biện pháp bảo mật là những gì các kiểm toán viên nói về code của họ. Trước khi Kava Labs ra mắt, nền tảng cho vay đã thực hiện một cuộc kiểm toán chuyên nghiệp bởi CertiK – công ty kiểm toán và xác minh hàng đầu. Trong một bài đăng trên blog về kết quả kiểm toán của Google, CertiK tuyên bố, “Kava là một trong những dự án tiền mã hóa tốt nhất mà Certik đã thấy từ trước đến nay, đặc biệt là trong lĩnh vực Defi”.

Dislaimer: Đây là thông tin cung cấp dưới dạng blog cá nhân, không phải thông tin tổng hợp hay lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.

• Hacker tấn công dForce bất ngờ trả lại 25 triệu đô la đánh cắp
• Vấn đề Oracle của DeFi có thể sẽ không giải quyết được