Tấn Công Cho Vay Chớp Nhanh (Flash Loan Attack) Là Gì?

Sự phát triển của tiền điện tử và công nghệ blockchain đã dẫn đến sự xuất hiện của nhiều xu hướng và công nghệ mang tính cách mạng. Tài chính phi tập trung (DeFi) là một ví dụ điển hình. Với mục đích tạo ra một hệ sinh thái tài chính phi tập trung, có thể mở rộng, minh bạch và không cần cấp phép, DeFi đã và đang phát triển như vũ bão. Tuy nhiên, giống như hầu hết các xu hướngn khác, ở DeFi vẫn tồn tại một số vấn đề. Các cuộc tấn công cho vay nhanh (flash loan attack) là một trong số những vấn đề đó.

Cuộc tấn công PancakeBunny — theo các báo cáo, đã dẫn đến thiệt hại hơn 200 triệu đô la — là một trong những cuộc tấn công flash loan nổi tiếng nhất trong thời gian gần đây. Bài viết này sẽ đi sâu thảo luận về các cuộc tấn công flash loan, các vụ tấn công nổi tiếng nhất và cách ngăn chặn loại tấn công này.

Khoản vay nhanh là gì?

Flash

Các khoản vay nhanh là các khoản vay không thế chấp được thực thi bởi các hợp đồng thông minh. Được tiên phong bởi Aave, một trong những nền tảng DeFi hàng đầu, các khoản vay nhanh không yêu cầu kiểm tra tín dụng, giới hạn và quan trọng hơn là không có tài sản thế chấp.

Thị trường tài chính truyền thống tồn tại hai loại cho vay - bảo đảm và không bảo đảm. Các khoản vay có bảo đảm yêu cầu tài sản thế chấp, kiểm tra tín dụng và có các giới hạn cụ thể. Mặt khác, các khoản vay không có bảo đảm không cần thế chấp. Điều này có nghĩa là bất kỳ ai cũng có thể vay bất kỳ khoản tiền nào mà không cần có một tài sản đáng kể để bồi thường. Các khoản vay nhanh không có bảo đảm và là một sản phẩm của không gian DeFi.

Loan

Theo Aave, các khoản vay nhanh là khoản vay không thế chấp đầu tiên trong lĩnh vực DeFi. Các khoản vay này được thiết kế rõ ràng để người dùng và nhà phát triển vay tài sản liền mạch và ngay lập tức mà không cần thế chấp. Các khoản vay nhanh mang đến một cơ hội tuyệt vời cho giao dịch chênh lệch giá.

Giao dịch chênh lệch giá cho phép các nhà giao dịch khai thác chênh lệch giá tài sản trên nhiều sàn giao dịch tiền điện tử. Ví dụ, nếu giá của một token là $10 trên sàn X và $13 trên sàn Y, thì người dùng có thể tận dụng các khoản vay nhanh để vay $1.000 nhằm mua 100 token từ sàn X sau đó bán cho những người khác trên sàn Y với giá $1.300.

Tấn công cho vay nhanh là gì?

Attack

Một cuộc tấn công cho vay nhanh khai thác các lỗ hổng trên các hợp đồng thông minh của nền tảng DeFi, trong đó kẻ xấu vay một khoản tiền đáng kể mà không có tài sản thế chấp sau đó tiếp tục thao túng giá của token hoặc tài sản trên một sàn giao dịch trước khi bán token hoặc tài sản đó trên một sàn giao dịch khác.

Tấn công cho vay nhanh là loại tấn công phổ biến nhất và rẻ nhất trong ngành DeFi. Kể từ khi ngành này tăng trưởng đáng kể một vài năm trở lại đây, các cuộc tấn công loại này đã không ngừng được lặp lại. Các cuộc tấn công loại này xảy ra rất nhanh chóng. Khi kẻ xấu nhận được khoản vay, chúng ngay lập tức tạo "bán tháo giả", dẫn đến việc giá tài sản giảm đáng kể.

Ngoài việc bán tháo bất thường, những kẻ tấn công còn triển khai nhiều mánh lới quảng cáo và kế hoạch để thao túng thị trường theo hướng có lợi cho chúng. Các cuộc tấn công này có thể được phối hợp nhanh chóng và qua mặt nhiều giao thức bảo mật DeFi.

Ví dụ về các cuộc tấn công cho vay nhanh

Alpha Amora

Được nhiều người coi là cuộc tấn công cho vay nhanh bằng tiền điện tử nổi bật nhất năm 2021, cuộc tấn công Alpha Amora nhắm vào Iron Bank, nền tảng cho vay của Cream Protocol. Con số kỷ lục 37 triệu đô la đã bị đánh cắp cho cuộc tấn công này.

Kẻ xấu liên tục vay sUSD từ Iron Bank thông qua ứng dụng phi tập trung Alpha Amora (DApp). Cuộc tấn công xảy ra theo mô hình hai giao dịch, trong đó tin tặc cho Iron Bank vay lại sUSD đã vay để nhận thưởng bằng Yearn Synth USD. Tin tặc đã vay 1,8 triệu USD coin từ Aave và đổi sang sUSD bằng cách sử dụng nền tảng Curve và sử dụng sUSD để trả lại khoản vay trên Iron Bank. Hành động này cho phép các tin tặc tiếp tục vay và trả, giúp chúng kiếm được nhiều cySUSD hơn.

Quá trình này được lặp đi lặp lại nhiều lần, cho phép các tin tặc đánh cắp càng tiền nhiều lần. Nhìn chung, tin tặc đã vay tổng cộng 13K WETH, 5,6 triệu USDT, 3,6 triệu USDC và 4,2 triệu DAI.

PancakeBunny

Cuộc tấn công PancakeBunny khét tiếng vào năm 2021 nhắm vào nền tảng tổng hợp khai thác năng suất dựa trên BSC đã tàn phá dự án này và thị trường. Vụ hack đã khiến giá trị token PancakeBunny giảm hơn 96%, khiến đây trở thành một trong những cuộc tấn công cho vay nhanh bằng tiền điện tử lớn nhất.

Thủ phạm đã vay một lượng BNB đáng kể thông qua PancakeSwap và sử dụng lượng tiền này để thao túng giá của các cặp giao dịch USDT/BNB và BUNNY/BNB. Tin tặc đã đánh cắp một số tiền lớn thông qua việc thao túng giá này, khiến giá trị của BUNNY giảm mạnh. Theo báo cáo, tổng cộng 3 triệu đô la đã bị tin tặc đánh cắp. Tuy nhiên, ảnh hưởng của vụ khai thác này trị giá hơn 200 triệu đô la khi giá token BUNNY bị giảm.

Cream Finance

Cuộc tấn công nhanh Cream Finance rất phức tạp, đòi hỏi thủ phạm phải triển khai nhiều kế hoạch và chiến lược. Được thực hiện vào năm 2021, tin tặc đã vay 1,5 tỷ đô la từ cổ phiếu kho tiền của Yearn Protocol. Với tài sản thế chấp trị giá 2 tỷ đô la, kẻ xấu đã nhân đôi giá trị bằng cách tặng lại số tiền đã vay cho Yearn Protocol.

ApeRocket

Cuộc tấn công ApeRocket xảy ra vào năm 2021 trên giao thức ApeRocket. Cuộc tấn công này được thực hiện trong hai quy trình riêng biệt nhưng có liên quan với nhau.

Đầu tiên, tin tặc đã vay một khoản tiền lớn $CAKE và $AAVE, 99% trong số đó được giữ trong kho của ApeRocket. Sau đó, thủ phạm đã gửi số tiền đó đến kho tiền của giao thức, khiến dự án phải đúc thêm token để bù vào số tiền nhận được. Cuối cùng, tin tặc đã bán phá giá các token, dẫn đến khoản lỗ 1,26 triệu đô la và sự cố giảm giá hơn 63% đối với token của Giao thức ApeRocket (SPACE).

Platypus Finance

Năm 2023, giao thức Platypus Finance đã bị tấn công bởi một cuộc tấn công cho vay nhanh thảm khốc.

Tin tặc đã vay 44 triệu USDC từ giao thức Aave, sử dụng số tiền này để stake và sau đó vay thêm từ Platypus Finance. Hành động này này cho việc tin tặc "rút tiền khẩn cấp" trên giao thức và rút số tiền đã stake mà không hoàn trả USDC đã vay.

Tin tặc ngay lập tức rút số tiền đã stake bằng cách kích hoạt chức năng khẩn cấp. Cuộc tấn công này, không giống như đa số các cuộc tấn công cho vay nhanh khác, được kích hoạt bởi một lỗ hổng trong chức năng stake của nền tảng, khiến hệ thống không thể kiểm tra trạng thái của tin tặc trước khi việc rút tiền được xử lý. Hơn 8,5 triệu đô la đã bị mất trong cuộc tấn công này.

Làm thế nào để ngăn chặn các cuộc tấn công cho vay nhanh

Với số lượng các cuộc tấn công cho vay nhanh ngày càng gia tăng, rõ ràng là không có giải pháp duy nhất, hiệu quả nào cho vấn đề này. Tất cả những gì chúng ta có thể làm là thực hiện hạn chế, mặc dù ở mức độ thấp hơn, các cuộc tấn công này. Một số cách để ngăn chặn loại tấn công này bao gồm:

Tận dụng các công cụ phát hiện

Một trong những lý do chính khiến các cuộc tấn công cho vay nhanh xảy ra là do thời gian phản hồi chậm của các nhà phát triển nền tảng DeFi. Tuy nhiên, chỉ có thể xác định một cuộc tấn công cho vay nhanh sau khi nó đã xảy ra. Điều này nhấn mạnh sự cần thiết của các công cụ phát hiện.

Những công cụ này được thiết kế để cho phép các nhà phát triển và quản lý dự án phát hiện các hoạt động khai thác hợp đồng thông minh và các hoạt động không phổ biến khác của người dùng. Phát hiện nhanh cho phép các nhà phát triển hành động nhanh chóng và vô hiệu hóa các vụ hack ở mức độ cao nhất. Hầu hết các giao thức DeFi đã cài đặt hàng chục công cụ an ninh mạng này để giảm thiểu các cuộc tấn công độc hại.

Sử dụng Oracles phi tập trung để định giá

Tận dụng Oracles phi tập trung cho dữ liệu giá là một cách hiệu quả khác để ngăn chặn các cuộc tấn công cho vay nhanh. Oracles như ChainLink và Band Protocol là hai trong số những sản phẩm được tìm kiếm nhiều nhất trên thị trường.

Các giao thức DeFi bị tấn công trước đó như Alpha Amora đã cho ra mắt một bộ tổng hợp Oracle vào năm ngoái và từ đó có thể phát hiện các cuộc tấn công trước khi chúng xảy ra.

Hai xác nhận khối cho các giao dịch

Nhóm nghiên cứu Dragonfly đã đề xuất sử dụng hai khối xác nhận cho các giao dịch. Mặc dù điều này không đảm bảo an ninh tối ưu — vì tin tặc có thể khởi động các cuộc tấn công vào cả hai khối — nhưng cũng đóng vai trò như một công cụ quản lý rủi ro, giúp giảm thiểu và loại bỏ hoàn toàn các cuộc tấn công cho vay nhanh.

Cầu dao

Một cách kịp thời khác để ngăn chặn các cuộc tấn công cho vay nhanh là vô hiệu hóa các chuyển động lớn của các khoản tiền, khiến những thủ phạm này khó thao túng thị trường một cách dễ dàng.

Thực hiện trì hoãn thời gian (tốc độ giao dịch trên giây) và tăng chi phí xử lý khoản vay nhanh là những cách tinh vi khác để loại bỏ các tác nhân và hành động độc hại trong ngành.

Tại sao tấn công cho vay nhanh lại phổ biến?

Các cuộc tấn công cho vay nhanh đang phổ biến vì:

  • Rẻ — đây là những cuộc tấn công dễ dàng và hợp lý nhất để thực hiện trên các giao thức DeFi. Tin tặc chỉ cần truy cập vào bể thanh khoản để vay tiền mà không cần thế chấp. Bất kỳ ai cũng có thể thực hiện một cuộc tấn công cho vay nhanh một cách thuận tiện.

  • Giao dịch chênh lệch giá — sự khai thác giá dao động của tài sản trên các sàn giao dịch tiền điện tử khiến các cuộc tấn công cho vay nhanh trở nên phổ biến. Sự tồn tại của hàng trăm sàn giao dịch khiến việc xác định giá thực tế của một tài sản tiền điện tử gần như là không thể.

  • Tỷ lệ thành công hiện tại — tỷ lệ thành công của các cuộc tấn công cho vay nhanh cho thấy chúng có thể được thực hiện thành công như thế nào. Kể từ năm 2021, tin tặc đã kiếm được hàng triệu đô la Mỹ từ các cuộc tấn công cho vay nhanh trong thời gian ngắn.

Liệu tấn công cho vay nhanh có dừng lại không?

Giống như các cuộc tấn công độc hại khác trong ngành công nghiệp tiền điện tử, các cuộc tấn công cho vay nhanh khó có thể dừng lại. Tuy nhiên, chúng to có thể đưa ra một số biện pháp để giảm thiểu rủi ro.

Việc thiết kế và giới thiệu các công cụ phát hiện nâng cao có thể là một sự thay đổi mô hình cho các giao thức DeFi. Những công cụ này có thể phát hiện hiệu quả các chuyển động bất thường trong một giao thức và thông báo ngay cho nhóm phát triển.


Câu hỏi thường gặp

Tấn công cho vay nhanh là gì?

Một cuộc tấn công cho vay khai thác các hợp đồng thông minh của giao thức DeFi bằng cách vay một khoản tiền lớn mà không cần thế chấp mà không có kế hoạch trả lại.

Tấn công cho vay nhanh có thật không?

Có, các cuộc tấn công cho vay nhanh là có thật. Các vụ hack như PancakeBunny, Cream Finance, Alpha Amora và Platypus Finance là những ví dụ điển hình của các cuộc tấn công cho vay nhanh. Các giao thức phát sinh loại tấn công này bị tổn thất tài chính rất lớn.

Các bước trong một cuộc tấn công cho vay nhanh là gì?

Tin tặc bắt đầu bằng cách vay tiền từ một giao thức cụ thể, triển khai các kỹ năng để thao túng thị trường và cuối cùng bán phá giá các token. Các bước này đã dẫn đến sự cố của nhiều giao thức DeFi.

Tuyên bố miễn trừ trách nhiệm
Nội dung này chỉ nhằm mục đích cung cấp thông tin và có thể bao gồm các sản phẩm không khả dụng ở khu vực của bạn. Nội dung không nhằm mục đích cung cấp (i) lời khuyên hay đề xuất đầu tư; (ii) lời đề nghị hoặc chào mua, bán hoặc nắm giữ tài sản số, hoặc (iii) lời khuyên tài chính, kế toán, pháp lý hoặc thuế. Việc nắm giữ tài sản số, bao gồm stablecoin và NFT, có mức độ rủi ro cao và biến động lớn. Bạn nên cân nhắc kỹ xem việc giao dịch hoặc nắm giữ tài sản số có phù hợp với mình hay không (tùy theo điều kiện tài chính của bạn). Hãy tham khảo ý kiến chuyên gia pháp lý/thuế/đầu tư nếu có thắc mắc về trường hợp cụ thể của mình. Thông tin (bao gồm dữ liệu thị trường và thông tin thống kê, nếu có) xuất hiện trong bài đăng này chỉ nhằm cung cấp thông tin chung. Mặc dù đã hết sức cẩn thận khi chuẩn bị dữ liệu và biểu đồ này nhưng chúng tôi không chịu bất kỳ trách nhiệm hoặc trách nhiệm pháp lý nào đối với mọi sai sót thực tế hoặc thiếu sót được trình bày trong tài liệu này. Cả Ví OKX Web3 và Thị trường NFT trên OKX đều phải tuân theo các điều khoản dịch vụ riêng tại www.okx.com.
© 2024 OKX. Có thể sao chép hoặc phân phối toàn bộ bài viết này, hoặc dùng đoạn trích từ 100 từ trở xuống trong bài viết này, cho mục đích phi thương mại. Mọi hành vi sao chép hoặc phân phối toàn bộ bài viết đều cần nêu rõ: "Bài viết này thuộc bản quyền của © 2024 OKX và được sử dụng với sự cho phép". Các đoạn trích hợp lệ phải trích dẫn tên của bài viết và đưa phần ghi công vào, ví dụ: "Tên Bài viết, [tên tác giả nếu có], © 2024 OKX". Không được tạo tác phẩm phái sinh hay dùng bài viết này cho mục đích khác.
Mở rộng
Bài viết liên quan
Xem thêm
Xem thêm