Sự cố hack DeFi vào năm 2021

[TL; DR]

Tài chính phi tập trung (DeFi) đã có một xu hướng tăng mạnh trong những năm qua, khiến lĩnh vực non trẻ trở nên rất hấp dẫn đối với các nhà đầu tư blockchain. DeFi đã tích lũy được hơn 100 tỷ tính đến quý 3 năm 2021. Kể từ khi thành lập, sự bùng nổ này đã thu hút các cuộc tấn công lớn từ các tin tặc lợi dụng sơ hở của dự án.

Để đạt được hiệu quả này, các công ty như CipherTrace đã phát hành các công cụ và giải pháp tuân thủ mới sẽ giúp các sàn giao dịch phi tập trung (DEX) và các dự án DeFi tuân thủ các quy định của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC). Sự phát triển này là một bước tiến lớn nhằm mang lại tính hợp pháp cho không gian DeFi đang phát triển nhanh chóng. Tuân thủ CipherTrace DeFi sẽ làm cho tất cả dữ liệu liên quan có sẵn một cách dễ dàng và trực tiếp trên chuỗi để tích hợp dễ dàng và nhanh chóng với các khung DeFi hiện có.

Hiện tại, điều này đang giúp các dự án DeFi hạn chế hành động nguy hiểm này ở một mức độ lớn. Nhìn chung, tội phạm tiền điện tử đang có xu hướng giảm trong những năm trước: 4,5 tỷ đô la vào năm 2019, 1,9 tỷ đô la vào năm 2020, 681 triệu đô la trong bảy tháng đầu năm 2021. Nhưng tội phạm DeFi đã tăng gấp ba lần.

Bài viết này sẽ xem xét nguyên nhân, các vụ hack nghiêm trọng của DeFi năm 2021 và các bước của ngành để hạn chế sự cố có thể lặp lại trong tương lai. Hãy đọc tiếp!


Từ khóa: Tài chính phi tập trung (DeFi), tấn công DeFi, hack blockchain, hack DeFi lớn nhất, hack blockchain, hacker.

Dự án DeFi?

Do đó, nhiều câu hỏi được đưa ra như tại sao nhiều người vẫn quan tâm đến nhánh blockchain này, bất chấp các cuộc tấn công lớn. Bạn có thể quan tâm khi biết rằng, không giống như các hệ thống tài chính thông thường, nơi các hoạt động nội gián chi phối hoạt động và kiểm soát lĩnh vực này, DeFi không dựa vào các cơ quan có thẩm quyền như vậy.

Tài chính phi tập trung, được cung cấp bởi công nghệ blockchain, đã cách mạng hóa nền tài chính vì nó hoàn toàn không bị giám sát và phi tập trung. Người dùng được phép có toàn quyền kiểm soát và giao dịch Tài sản kỹ thuật số của họ: không có cơ quan trung ương. Sự phân quyền này được thực hiện nhờ các hợp đồng thông minh trên mạng blockchain, chỉ cho phép các hành động trên mạng khi các điều kiện đã đặt được đáp ứng. Do đó, chúng tôi có các dịch vụ tài chính ngang hàng cho phép cho vay phi tập trung, trao đổi phi tập trung, phái sinh, hệ thống thanh toán, tăng lợi nhuận, dự đoán thị trường nhanh hơn, rẻ hơn, có thể kiểm toán và liền mạch.

Ví dụ: các dự án Ethereum DeFi đã được áp dụng rộng rãi do mức lãi suất cao của năm trước, mang lại lợi nhuận đáng kể cho nhiều người dùng. Các khoản cho vay và lãi thu được từ các khoản cho vay đã tạo ra “thu nhập thụ động” cho người sử dụng. Nuôi trồng lợi nhuận cho phép người dùng tận dụng tài sản tiền điện tử của họ để tạo ra lợi nhuận cao.

Hack thông qua Smart Contract

Bất chấp sự suy giảm trong các cuộc tấn công rộng rãi vào ngành công nghiệp blockchain, DeFi đã trở nên tồi tệ hơn với hệ số 2,7 so với năm ngoái. Những tổn thất này đến từ nhiều phương tiện khác nhau như hack, kéo thảm, & lỗi hệ thống và trộm cắp.

Trong hầu hết các trường hợp, việc hack DeFi xảy ra khi các hợp đồng Thông minh được triển khai trên blockchain bị lỗi, sử dụng sai giao thức của bên thứ ba, sự kém năng lực của nhà phát triển và lỗi logic nghiệp vụ, có khả năng khiến dự án dễ bị tin tặc tấn công. Những sai lầm trong hợp đồng này thường hầu như không thể sửa chữa được, các lỗi cũng vậy, do đó càng làm tăng rủi ro. Thật không may, những sai sót này vẫn còn phổ biến trong DeFi.

Các chuyên gia nói rằng tin tặc khai thác điểm yếu trong mật mã hoặc mã hóa của các dự án DeFi này để cho phép chuyển tiền.

Tái bút: Với tổng số 906 triệu đô la, Poly Network, Compound và Cream Finance đã lọt vào danh sách các dự án DeFi bị ảnh hưởng nhiều nhất vào năm 2021.

1. Vụ hack DeFi lớn nhất năm 2021: Vụ hack mạng Poly

Vào ngày 10 tháng 8, khoản lỗ tiền điện tử đáng kể nhất trong lịch sử, lên tới 612 triệu đô la, đã được Poly Network ghi nhận, đứng đầu khoản lỗ của MtGox và Coincheck. Thông thường, tin tặc DeFi nhắm mục tiêu vào các công cụ DeFi cụ thể, nhưng trong trường hợp này, cơ sở hạ tầng của Poly Network là trọng tâm.

Mục tiêu của tin tặc là giành quyền kiểm soát hoàn toàn các hợp đồng thông minh của sàn giao dịch phi tập trung (DEX), cho phép anh ta truy cập vào các mã thông báo bị khóa trong hợp đồng.

Tổng số mã token mạng Ethereum trị giá 273 triệu đô la đã bị đánh cắp; 85 triệu đô la USD Coin (USDC) từ mạng Polygon và chuỗi Binance Smart Chain trị giá 253 đô la, một số lượng lớn đồng nhân dân tệ, Bitcoin được bọc (wBTC) và Ether được bao bọc (wETH).

Poly Network hoạt động với một hợp đồng thông minh kết nối các blockchains độc lập để tạo điều kiện chuyển mã thông báo. Tin tặc này, được cho là White Hat, đã khai thác hợp đồng thông minh CrossChainManager và hoán đổi khóa lưu trữ của hợp đồng trên Poly Network. Thao tác này cho phép anh ta kiểm soát hoàn toàn, cho phép anh ta mở khóa và di chuyển các mã thông báo đến địa chỉ lựa chọn của mình.

Điều đáng ngạc nhiên là hacker đã từ chối những lời đề nghị do Poly mạng đưa ra, nhưng vào ngày 11 tháng 8, kẻ tấn công bắt đầu trả lại một số tiền bị đánh cắp cho Poly Network.

Sau nỗ lực của tin tặc, có vẻ như anh ta đã sử dụng lại một chiếc ví với các sàn giao dịch nổi bật có một số thông tin về anh ta thông qua giao thức khách hàng của họ biết.
Theo CipherTrace, hầu hết số tiền bị đánh cắp đã được trả lại cho các địa chỉ đã chọn của Poly Network.
Các địa chỉ này là:

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. Hack Compound Finance

Ngày 19 tháng 4 năm 2021, EasyFI mất khoảng 75 triệu đô la EASY token và 6 triệu đô la thanh khoản của người dùng. EasyFi là một nhánh tài chính phức hợp hoạt động trên Mạng đa giác lớp 2. Tin tặc đã truy cập vào khóa quản trị của dự án, khóa này cho phép các nhà phát triển cập nhật giao thức của họ. Do đó, nhóm đã thay đổi giao thức mạng blockchain để bù đắp tổn thất của họ và tránh các cuộc tấn công trong tương lai.

3. Cuộc tấn công cho vay chớp nhoáng của khao khát tài chính

Yearn Finance (YFI) đã bị hacker tấn công vào tháng 2 năm 2021, trốn thoát với 2,8 triệu đô la. Các tin tặc đã chuyển 11 triệu đô la từ kho tiền DIA thông qua các khoản vay nhanh để thực hiện một khoản vay thế chấp. Hacker bí ẩn này đã lợi dụng lỗ hổng thiết kế để bắt đầu một "cuộc tấn công cho vay nhanh" bằng cách tham gia vào 5 giao thức DeFi khác nhau; Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX và Yearn. Tài chính (YFI).

4. PAID Network bị hack vào năm 2021

Tin tặc đã thao túng chức năng nâng cấp Smart Contract bằng cách sử dụng khóa bị xâm nhập cho người triển khai hợp đồng Mạng trả phí. Quyền truy cập này cho phép anh ta đúc và bán phá giá hơn 100 triệu, dẫn đến lạm phát kéo khiến mã token mất khoảng 85% trong giá trị thị trường.

5. Cream Finance hack 130 triệu đô la

Riêng trong năm 2021, Cream Finance đã phải hứng chịu ba cuộc tấn công khác nhau với tổng số tiền lên tới 186,6 triệu USD. - vào tháng 2, tin tặc đã xâm nhập bằng cách lồng vào hợp đồng thông minh của giao thức Alpha Homora. Khoảng 37,5 triệu đô la ETH và stablecoin đã được tìm thấy bị mất tích.

- Vào cuối tháng 8, Cream Finance đã phải hứng chịu một cuộc tấn công tương tự khi tin tặc đánh cắp 18,8 triệu đô la Ether (ETH) và mã thông báo AMP.

-Cream Finance bị một cuộc tấn công mới vào ngày 27 tháng 10 năm 2021. Tổn thất lần này ước tính trị giá khoảng 130 triệu đô la. Làm cho nó được xếp hạng là cuộc tấn công cao thứ 3 của năm 2021
Kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng thông minh cho vay nhanh (cho vay tức thì) từ Cream Finance trên mạng Ethereum.

6. BadgerDAO trộm mã token trị giá 120 triệu đô la.

Trong giao thức của nó, chủ sở hữu Bitcoin có thể "bắc cầu" tiền điện tử của họ với nền tảng Ethereum thông qua mã thông báo của nó, cho phép họ hưởng lợi từ các cơ hội DeFi mà họ có thể không có quyền truy cập.

Theo một nguồn bảo mật, pecksheild hợp tác với Badger DAO để điều tra các mã token bị đánh cắp, đã xác nhận rằng một kẻ trộm đã bỏ túi khoảng 120 triệu đô la vào ngày 1 tháng 12 năm 2020. Họ tuyên bố rằng kẻ xấu đã chèn tập lệnh trên trang web của họ để làm gián đoạn các giao dịch Web3, yêu cầu chuyển mã token của nạn nhân đến địa chỉ đã chọn của kẻ tấn công. Nhóm của Badger tuyên bố rằng họ đã nhận thấy một số dấu vết sớm nhất là vào ngày 10 tháng 11, nhưng hầu như không thể theo dõi được vì hacker đã xử lý nghiêm túc nó vào các khoảng thời gian khác nhau.

Mặc dù không có lỗi trong bản thân công nghệ Blockchain, nhưng tin tặc đã khai thác người dùng trên trang web2.0 của Badger khi thực hiện các giao dịch của họ. Điều này khiến con lửng đóng băng nền tảng của mình vì nhóm của nó đã phát hiện thấy các chuyển khoản trái phép. Nó tạm dừng tất cả các hợp đồng Thông minh và yêu cầu người dùng từ chối tất cả các giao dịch đến địa chỉ của kẻ tấn công.
Kể từ đó, công ty đã giữ lại các chuyên gia pháp y dữ liệu Chainalysis để điều tra quy mô đầy đủ trong khi hợp tác đầy đủ với các cơ quan bên ngoài để điều tra.

Kết luận

- Theo Coin Telegraph, trong số năm 2021 vụ hack tiền điện tử, chỉ có 37% được kiểm toán.
- Khoảng 60% tác động tấn công so với các dự án không được kiểm tra.
- Kết quả này cũng tuyên bố rằng có tới 1,3 tỷ đô la là từ những cái chưa được kiểm toán.

Sau đó, chúng tôi có thể suy luận rằng kiểm toán là điều cần thiết để cung cấp giao thức DeFi an toàn cho những người chấp nhận blockchain. Gần đây, nhu cầu về kiểm toán bảo mật hợp đồng thông minh và quy trình kiểm toán của bên thứ ba ngày càng nhiều hơn để đảm bảo khả năng tồn tại của các dự án này trước khi chúng ra mắt công chúng. Kết luận, các nhà đầu tư cần nghiên cứu kỹ lưỡng trước khi phân bổ vốn cho các dự án DeFi. Tuy nhiên, những vụ hack và trộm cắp này đã nhấn mạnh sự thận trọng đối với cộng đồng blockchain, thúc đẩy lĩnh vực này tiến bộ và đáng tin cậy.

Tác giả: M. Olatunji, nhà nghiên cứu trực thuộc Gate.io
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham chiếu Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.