Giao thức tài chính phi tập trung (DeFi) Cream Finance đã bị tấn công một lần nữa, tin tặc đã lấy đi số token Cream Liquidity Pool (LP) trị giá khoảng 130 triệu đô la và các token ERC-20 khác trên giao thức.
Cuộc tấn công thứ ba vào giao thức Cream Finance
Dữ liệu giao dịch của cuộc tấn công cho thấy rằng tin tặc chưa được xác định đã cắt hầu hết tiền từ các mã thông báo LP của Cream và chuyển đổi chúng thành DAI và USDC. Các địa chỉ đã nhận được hai khoản tiền riêng biệt với giá trị tương ứng là 92 triệu đô la và 23 triệu đô la, số tiền được chuyển đến nhiều ví khác nhau.
Theo báo cáo ban đầu từ công ty phân tích dữ liệu và bảo mật blockchain của Trung Quốc – PeckShield Inc.
Sau cuộc tấn công, mã thông báo CREAM của Cream Finance đa giảm mạnh từ 152 đô la xuống còn 111 đô la, giảm gần 30% trong vòng chưa đầy một giờ. Cho đến nay, vụ hack này trở thành vụ hack DeFi lớn thứ ba trong lịch sử, sau 611 triệu đô la trên Poly Network và 147 triệu đô la trên Compound.
Vào thời điểm báo chí, Cream Finance chưa đưa ra bất kỳ tuyên bố chi tiết nào về vấn đề này. Tuy nhiên, giao thức đã thừa nhận rằng cuộc tấn công đã xảy ra và cho biết họ sẽ điều tra những gì đang xảy ra với C.R.E.A.M. – giao thức v1 dựa trên Ethereum.
Cuộc tấn công mới nhất vào Cream Finance là cuộc tấn công thứ ba trong lịch sử của nó, giao thức đã bị mất khoảng 37,5 triệu đô la vào tháng 2/2021 và 18,8 triệu đô la khác vào tháng 8/2021. C.R.E.A.M. của Cream Finance là chương trình cho vay nhanh được khởi chạy vào tháng 4, nhằm cho phép các nhà phát triển có quyền truy cấp vào các khoản vay không được phân cấp. Vào thời điểm đó, chỉ có khoản 90 triệu đô la thanh khoản có sẵn để truy cập thông qua phiên bản Chuỗi thông minh Binance của nó.
Rủi ro khi đầu tư DeFi
Cream Finance chỉ là một trong số hàng trăm vụ hack đã xảy ra kể từ DeFi xuất hiện là làm khuynh đảo không gian Crypto. Do đó, những rủi ro của đầu tư tiền điện tử DeFi không nên bị đánh giá thấp và chúng đến từ một số khía cạnh khác nhau của các giao thức phi tập tập trung.
Không giống như đầu tư tiền tệ truyền thống, rủi ro tiền điện tử đến từ việc nó không được quản lý chặt chẽ, hầu như không có sự giám sát nào cả và điều này, kết hợp tính ẩn danh của các giao thức DeFi khiến bạn lo ngại vì độ kém tin cậy. Vì tiền điện tử là một loại tài sản hoàn toàn mới, nó chỉ mới bắt đầu được soi dưới “kính hiển vi” quản lý, vì vậy tác động thuế trong tương lai của việc đầu tư của bạn và tương lai của tiền điện tử nói chung là không chắc chắn.
Đặt tất cả những điều này sang một bên, cũng có những rủi ro trong DeFi liên quan đến các vụ hack, vì công nghệ hợp đồng thông minh mà họ sử dụng có một số lỗ hổng dẫn đến một số vụ khai thác lớn trong năm qua. Các lỗi trong mã có thể tạo ra một vectơ tấn công, mà tin tặc dựa vào đó để khai thác và đánh cắp tài của bạn.
Hai kế hoạch tấn công được sử dụng nhiều nhất trong DeFi đó là Rug Pulls và Flash Loan. Trong đó, Rug Pull là rút thanh khoản khi không ai ngờ tới, trong một đợt kéo thảm, chủ sở hữu hoặc nhà phát triển đột nhiên rút thanh khoản của họ khỏi một nhóm, gây hoảng loạn và khiến mọi người bán tài sản. Về cơ bản, đây là một trò lừa đảo thoát. Còn Flash Loan Attack là các cuộc tấn công cho vay chớp nhoáng – bơm và loại bỏ thanh khoản. Về bản chất đây không phải thực sự là một vụ hacks, tin tặc chỉ đơn giản là lợi dụng những khe hở của hợp đồng thông minh để đánh cắp tiền của các nhà cung cấp thanh khoản.
Làm thế nào để người dùng tránh các giao thức dễ bị tấn công?
Dưới đây là một số cách mà bạn có thể ngăn chặn những vụ hack này trong các giao thức tài chính phi tập trung.
1. Sử dụng multi-sig
Multi-sig có nghĩa là nhiều chữ ký. Một cách để bảo vệ sàn giao dịch phi tập trung của bạn là đảm bảo rằng hợp đồng thông minh của bạn được khóa bằng nhiều chữ ký. Ví dụ: Một hacker giành được quyền truy cập vào một khóa, anh ta sẽ không có quyền truy cập vào toàn bộ tài sản cho đến khi anh ta có quyền truy cập vào tất cả các chữ ký được sử dụng để mã hóa hợp đồng.
2. Kiểm toán nội bộ và bên ngoài các hợp đồng thông minh
Kiểm tra độ tin cậy của hợp đồng thông minh là kiểm tra xem dự án đã trải qua kiểm tra kỹ thuật hay chưa. Các dự án luôn mong muốn hiển thị cho người dùng thông tin này vì nó mang lại cho họ lợi thế với các đối thủ cạnh tranh.
Có nhiều cách để kiểm tra hợp đồng thông minh, một trong số đó là phạm vi kiểm tra 100%. Phạm vi kiểm tra 100% là một kỹ thuật tốt có thể bảo vệ hợp đồng hoàn toàn. Vì vậy, trong khi bạn mua thứ gì đó từ DEX, hãy đảm bảo rằng nó đã trải qua quá trình đánh giá nội bộ và bên ngoài từ một tổ chức có uy tín phát triển hợp đồng thông minh.
3. Xác minh thông tin về đội ngũ và danh tiếng của nó
Ai là người sáng lập và nhà phát triển? Các thành viên trong team có công khai không? Nó đã bao giờ tham gia vào bất kỳ dự án đáng tin cậy nào trong tiền điện tử chưa? Bạn cũng nên chú ý đến danh tiếng của nhóm dự án. Nếu một trong các thành viên trong nhóm tham gia vào một dự án làm mất tiền của nhà đầu tư, đó sẽ là một lá cờ đỏ. Nhưng nếu đội chỉ có danh tiếng tích cực, bạn có thể đặt niềm tin nhiều hơn vào đó.
Kết luận
DeFi đã cách mạng hóa lĩnh vực tài chính với các công cụ không cần sự cho phép và không đáng tin cậy để tăng thu nhập đáng kể trong thời gian ngắn. Tuy nhiên, rất nhiều lỗ hổng của nó thường được sử dụng bởi những kẻ tấn công và các nhà phát triển độc hại. Đây là một quá trình tự nhiên, được quyết định bởi thực tế về cách thế giới của chúng ta hoạt động. Sẽ có một cuộc chạy đua vũ trang mật mã, khi các dự án cố gắng đối mặt với các mối đe dọa bằng cách xây dựng hệ thống phòng thủ để đối phó với các phương pháp tấn công ngày càng tinh vi hơn. Mỗi cuộc tấn công đều thúc giục các giao thức nâng cao tính bảo mật của chúng và đây là cách mà các vụ hack DeFi giúp ngành công nghiệp phát triển.
Source: Tổng hợp.
