Tác giả: Daniel Kuhn

Biên dịch: Khối kỳ lân

Vào thời điểm các nhà phát triển đang thảo luận về những thay đổi đối với mô hình thanh khoản AMM hiện tại, các nền tảng lớn bao gồm cả Curve đã bị tấn công lãi suất 70 triệu đô la vào cuối tuần qua.

Tài chính phi tập trung (DeFi) đã quay cuồng với một loạt các cuộc tấn công vào một số nền tảng quan trọng gần đây vào Chủ nhật. Tổng cộng, khoảng 70 triệu đô la đã bị đánh cắp vào cuối tuần, bao gồm cả từ Curve Finance, sàn giao dịch phi tập trung được sử dụng nhiều nhất và có ảnh hưởng nhất, theo ước tính của nhà phát triển MetaMask, Taylor Monahan. Alchemix (giao thức cho vay), Pendle (nền tảng năng suất) và Metronome (công cụ tài sản tổng hợp) cũng bị tấn công, cũng như giao thức NFT phi tập trung JPEG.

Đáp lại, những người cho vay DeFi bắt đầu rút tiền từ các nền tảng DeFi khác, bao gồm cả Aave, khiến phí vay tăng đột biến trong phân ngành tài chính, theo The Defiant.

Mọi thứ chắc chắn có thể tồi tệ hơn, và hơi trớ trêu thay, các hacker mũ trắng đã có thể rút tài sản từ một số nhóm cho vay của Curve để ngăn chúng bị đánh cắp. Hơn nữa, ba trong tổng số năm cuộc tấn công độc hại rõ ràng là do các chuyên gia MEV (Giá trị có thể trích xuất tối đa) "chạy trước". MEV là một khía cạnh gây tranh cãi nhưng không thể ngăn cản trong hoạt động của các chuỗi khối công khai, cho phép các bên thứ ba và máy tự động tìm kiếm và sắp xếp lại các giao dịch đang chờ được xác nhận trong mempool (nhóm bộ nhớ) để kiếm lợi nhuận.

Coffeebabe.eth chịu trách nhiệm đảo ngược ít nhất hai cuộc tấn công độc hại, có thể do nhiều tin tặc không liên quan thực hiện, bằng cách chạy các giao dịch trước chúng. Chainlink, nhà cung cấp dữ liệu trên chuỗi (còn được gọi là hệ thống “tiên tri”), cũng nhận được một số lời khen ngợi vì đã ngăn chặn tổn thất tài sản thế chấp trên toàn ngành trong cuộc tấn công, nhưng dường như theo cách vòng vo. ChainlinkGod đã tweet: “Các nền tảng như Aave hoặc các giao thức cho vay DeFi khác sẽ chịu khoản lỗ nợ xấu lớn nếu họ sử dụng nhóm Đường cong CRV/ETH (hiện đã cạn kiệt) như một lời tiên tri trên chuỗi.” Những từ này đúng, nhưng có lẽ là sự lặp lại.

Bản chất của các cuộc tấn công này dường như bắt nguồn từ một lỗ hổng trong ngôn ngữ lập trình có tên là Vyper, được sử dụng đặc biệt để khởi chạy các hợp đồng thông minh trên Ethereum. Nhóm cốt lõi của ngôn ngữ lập trình này - được hỗ trợ bởi nhóm Curve - đã thông báo rằng các phiên bản cũ hơn của Vyper dễ bị tấn công "reentrancy". Mặc dù đại diện của Vyper đã chỉ ra rằng các dự án sử dụng phiên bản 0.2.15, 0.2.16, 0.3.0 nên tìm kiếm sự trợ giúp, nhưng có thể mất vài ngày, vài tuần hoặc thậm chí vài tháng để thực sự hiểu điều gì đã xảy ra.

Hack trong thế giới tiền điện tử không hoàn toàn giống như hack trong các lĩnh vực khác. Việc những kẻ tấn công trả lại số tiền bị đánh cắp ngày càng phổ biến, về bản chất chúng luôn có thể theo dõi được trên chuỗi khối, điều này có thể khiến mọi người rất khó tiêu tiền bị nhiễm độc hoặc tiêu mà cả thế giới không biết về tiền mặt ở bất cứ đâu. Bạn có thể nghĩ rằng điều này có nghĩa là ít cuộc tấn công hơn trong thế giới được mã hóa - nhưng rõ ràng là không phải vậy. Mới hôm nay, công ty kiểm toán bảo mật CertiK tuyên bố rằng chỉ riêng trong tháng 7 năm 2023, người dùng tiền điện tử đã mất ít nhất 303 triệu đô la do vi phạm.

Trong khi các khía cạnh kỹ thuật của cuộc tấn công vẫn đang được nghiên cứu và tác động tổng thể vẫn chưa được biết, có thể đã có ít nhất một tiết lộ rõ ​​ràng. Trong những ngày sau thông báo của nhóm Uniswap tại sàn giao dịch phi tập trung phổ biến nhất, UniswapX, một sản phẩm mới, đã có một loạt các cuộc thảo luận về tương lai của DEX. UniswapX về cơ bản sẽ thực hiện các giao dịch bằng cơ chế ngoại tuyến, giúp tiết kiệm phí giao dịch cho người dùng Uniswap. Rõ ràng, thế giới đang đi theo hướng này: Cowswap, 0x và các mô hình "thực thi tốt nhất" của một số giao thức, bao gồm cả UniswapX hiện tại, tất cả đều đang chuyển các khía cạnh nhất định của giao dịch ra khỏi chuỗi trong tương lai.

Theo một cách nào đó, thế giới giao dịch tiền điện tử mới dũng cảm này có ý nghĩa. Trong bất kỳ thị trường nào đòi hỏi đối thủ cạnh tranh phải đổi mới để thu hút người dùng, chi phí sẽ luôn có xu hướng bằng không. Các nhà giao dịch tiền điện tử cũng đã chỉ ra rằng họ thường sẵn sàng chuyển giao một số quy trình giao dịch cho một thuật toán giao dịch độc quyền được cho là có lợi cho họ để có giá tốt hơn, giao dịch nhanh hơn hoặc chỉ là một lợi thế - trong khi hy sinh một số đảm bảo mã hóa toàn bộ trên chuỗi. Những câu hỏi này đã được thảo luận trên một podcast gần đây, The Chopping Block.

Tuy nhiên, với sự thất bại gần đây trong không gian DeFi, có vẻ như việc cắt giảm những lợi ích duy nhất mà chuỗi khối mang lại cho doanh nghiệp là quá mức cần thiết: tính bất biến và minh bạch, mặc dù rõ ràng là việc thực hiện các giao dịch được thực hiện trên chuỗi có thể gặp vấn đề nghiêm trọng? Còn những rủi ro lớn thì sao? Tôi không biết tương lai của blockchain sẽ như thế nào, nhưng tôi ngày càng nghe nhiều hơn rằng nó sẽ không giống thế giới của AMM (Nhà tạo lập thị trường tự động) mà chúng ta quen thuộc, mà sẽ có lập trình và tự động hơn. Có thể điều đó sẽ thành hiện thực, nhưng bạn nghĩ mọi người nên giải quyết không gian tiền điện tử trước.