Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Nâng cao
DEX
Giao dịch trên chuỗi với Gate Wallet
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Bot
Giao dịch chỉ bằng một cú nhấp chuột với các chiến lược thông minh tự động chạy
Sao chép
Tăng trưởng sự giàu có bằng cách theo dõi các nhà giao dịch hàng đầu
Giao dịch CrossEx
Beta
Một số dư ký quỹ, chia sẻ xuyên nền tảng
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Futures Mall
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Cách thức xảy ra "tấn công vay nén" là gì? Ba cơ chế giúp hacker thực hiện thành công sự thật
Trong sự phát triển nhanh chóng của DeFi, các cuộc tấn công vay nhanh đã trở thành một mối đe dọa an ninh ngày càng nghiêm trọng. Từ vụ tấn công đầu tiên vào năm 2020 cho đến nay, các hacker đã trộm hàng triệu đô la tài sản thông qua phương thức tấn công này. Để hiểu tại sao các cuộc tấn công vay nhanh lại diễn ra thường xuyên và khó phòng ngừa như vậy, trước tiên cần hiểu rõ cơ chế hoạt động của vay nhanh và cách các kẻ tấn công lợi dụng các điểm yếu trong hệ sinh thái DeFi để thực hiện các cuộc tấn công phối hợp, xuyên giao thức.
Từ vay không thế chấp đến mối đe dọa trong DeFi—Tính hai mặt của vay nhanh
Vay nhanh là một công cụ tài chính sáng tạo do Aave giới thiệu đầu tiên vào đầu năm 2020. Khác với các khoản vay truyền thống cần tài sản thế chấp và quy trình kiểm tra tín dụng phức tạp, vay nhanh có ba đặc điểm cốt lõi, đồng thời cũng tạo cơ hội cho các kẻ tấn công lợi dụng.
Thứ nhất, đây là khoản vay hoàn toàn không thế chấp. Người vay không cần cung cấp tài sản nào làm đảm bảo, cũng không cần trải qua kiểm tra tín dụng, vẫn có thể vay hàng trăm nghìn đô la trong tích tắc. Thứ hai, tất cả các giao dịch đều được tự động thực thi qua hợp đồng thông minh trên blockchain. Thoả thuận vay quy định rằng, nếu người vay không thể hoàn trả trong một giao dịch trong cùng một khối, toàn bộ giao dịch vay sẽ bị hoàn nguyên hoàn toàn, như thể nó chưa từng xảy ra. Cơ chế này loại bỏ rủi ro cho bên cho vay—dù người vay có trả nợ thành công hay không, hệ thống sẽ tự động đảm bảo an toàn cho quỹ. Thứ ba, toàn bộ quá trình diễn ra cực kỳ nhanh chóng. Từ khi khoản vay được duyệt đến khi hoàn trả, thường chỉ mất vài giây, tất cả phải hoàn tất trong cùng một khối.
Nhờ các thiết kế này, vay nhanh đã nhanh chóng phổ biến trong DeFi. Nó tạo ra cơ hội arbitrage mới cho người dùng, làm cho các giao dịch phức tạp trở nên khả thi, đồng thời cung cấp nhiều tính năng sáng tạo mà các dịch vụ tài chính truyền thống không thể thực hiện. Ví dụ, người sở hữu tài sản biến động có thể tạm thời hoán đổi tài sản thế chấp bằng vay nhanh để tránh rủi ro thanh lý; hoặc người vay có thể chuyển đổi loại tiền vay qua vay nhanh để tránh chi phí do lãi suất tăng cao.
Tuy nhiên, khi vay không thế chấp, không kiểm tra tín dụng, không rủi ro xuất hiện, những người có ý đồ xấu đã nhận thấy cơ hội. Họ bắt đầu lợi dụng sự phụ thuộc vào thông tin giá cả của các giao thức DeFi, lên kế hoạch thực hiện các hành vi thao túng phối hợp, hoàn thành toàn bộ quá trình từ vay đến lợi nhuận rồi trả nợ trong cùng một khối. Đó chính là bản chất của các cuộc tấn công vay nhanh.
Phân tích chi tiết các cuộc tấn công—Hai vụ tấn công vay nhanh quan trọng
Để thực sự hiểu cách các cuộc tấn công vay nhanh thành công, cần bắt đầu từ các ví dụ cụ thể.
Vụ thao túng Fulcrum và Uniswap năm 2020
Vụ tấn công vay nhanh nổi tiếng đầu tiên diễn ra vào năm 2020. Kẻ tấn công vay một lượng lớn ETH qua hợp đồng vay mượn DeFi dYdX, sau đó chia nhỏ thành nhiều phần, gửi đến các nền tảng vay và giao dịch khác nhau. Bước này cực kỳ quan trọng—mục tiêu của kẻ tấn công là tạo ra phản ứng dây chuyền giữa nhiều giao thức DeFi.
Trên nền tảng vay Fulcrum, kẻ tấn công đầu tiên mở vị thế bán khống ETH so với WBTC. Đồng thời, hắn vay thêm WBTC từ hợp đồng Compound trên một giao thức DeFi khác. Tiếp theo, hắn đặt lệnh mua WBTC với số lượng lớn trên Uniswap, sàn giao dịch phi tập trung có tính thanh khoản thấp hơn.
Do thanh khoản WBTC trên Uniswap hạn chế, lệnh mua khổng lồ này ngay lập tức đẩy giá WBTC tăng cao. Để thực hiện lệnh, Fulcrum buộc phải mua WBTC với giá cao hơn nhiều so với giá thị trường bình thường. Trong khi đó, vị thế bán khống của kẻ tấn công bị lỗ lớn khi giá WBTC tăng, nhưng tài sản WBTC hắn nắm giữ trên Compound lại tăng giá trị đáng kể.
Trong cùng một khối, kẻ tấn công hoàn tất vòng vòng: trả nợ ETH vay từ dYdX, đồng thời thu lợi hàng trăm nghìn đô la từ toàn bộ quá trình arbitrage. Người dùng Fulcrum và Uniswap bị thiệt hại, trong đó Fulcrum phải chịu thiệt hại do giá WBTC bị đẩy lên cao giả tạo, dẫn đến thiệt hại hàng triệu đô la.
Vụ tấn công hợp đồng bZX và thao túng giá stablecoin
Vụ tấn công vay nhanh khác liên quan đến hợp đồng Fulcrum dựa trên bZX. Vụ tấn công này đã phơi bày điểm yếu trong hợp đồng thông minh về thông tin giá cả.
Kẻ tấn công vay một lượng ETH lớn qua vay nhanh, sau đó đặt lệnh mua sắm sUSD—stablecoin gắn với đô la Mỹ—trên Kyber, một sàn giao dịch phi tập trung. Ban đầu, sUSD duy trì giá khoảng 1 đô la. Nhưng hợp đồng thông minh chỉ có thể nhận diện thông tin giao dịch và dữ liệu giá, không thể hiểu được logic kinh tế rằng “stablecoin nên giữ giá cố định”.
Lệnh mua lớn đẩy giá sUSD tăng vọt lên 2 đô la. Các hệ thống oracle của hợp đồng nhận biết được mức giá “mới” này, và dựa trên giá ảo này, kẻ tấn công có thể vay thêm ETH dựa trên giá cao giả tạo. Sau khi vay dựa trên giá cao giả tạo, hắn trả nợ ban đầu và thu lợi từ chênh lệch.
Hai vụ tấn công này cho thấy một mô hình chung: kẻ tấn công lợi dụng sự phụ thuộc của các hợp đồng DeFi vào dữ liệu giá trên chuỗi, tạo ra các giao dịch lớn trên các sàn thanh khoản thấp để thao túng giá tài sản, sau đó lợi dụng các thông tin giả này để lừa các hợp đồng vay mượn và các nền tảng khác, hoàn thành lợi nhuận và trả nợ trong cùng một khối.
Hướng dẫn phòng thủ—Cách chống lại các cuộc tấn công vay nhanh
Khi các cuộc tấn công vay nhanh ngày càng phổ biến, các hợp đồng DeFi và các chuyên gia an ninh đã phát triển nhiều chiến lược phòng thủ đa tầng.
Oracle phi tập trung—Xác nhận giá từ nhiều nguồn
Giải pháp phòng thủ trực tiếp nhất là sử dụng oracle phi tập trung để lấy dữ liệu giá tài sản. Khác với việc dựa vào một nguồn giá duy nhất trên chuỗi, oracle phi tập trung tổng hợp dữ liệu từ nhiều nguồn độc lập để xác định “giá thực”. Quá trình này đảm bảo rằng, ngay cả khi một sàn giao dịch bị thao túng, các nguồn giá còn lại vẫn giữ vai trò cân bằng thông tin giả.
Quan trọng hơn, nhiều oracle phi tập trung còn bổ sung các lớp xác thực bổ sung. Người gửi dữ liệu phải ghi nhận thông tin trên blockchain, nghĩa là nếu cố gắng tấn công bằng cách đưa giá giả, thì trong thời gian xác nhận trên chuỗi, toàn bộ giao dịch sẽ bị hoàn nguyên. Thao tác này thực chất kéo dài “cửa sổ tấn công” từ trong cùng một khối sang “qua thời gian xác nhận”, làm tăng đáng kể độ khó của tấn công.
Định giá trung bình theo thời gian (TWAP)—Trung bình qua nhiều khối
Một cơ chế phòng thủ hiệu quả khác là sử dụng định giá trung bình theo thời gian (TWAP). Phương pháp này không lấy giá tại thời điểm hiện tại mà tính trung bình giá trong nhiều khối trước đó hoặc lấy trung vị của khoảng thời gian này.
Điểm mấu chốt của TWAP là: các cuộc tấn công vay nhanh là thao tác nguyên tử, phải hoàn tất trong cùng một khối. Để thao túng TWAP, kẻ tấn công cần kiểm soát cùng lúc giá của nhiều khối trước đó, điều này gần như không thể trên blockchain phi tập trung. Do đó, các hợp đồng DeFi sử dụng TWAP sẽ giảm thiểu đáng kể khả năng thành công của các cuộc tấn công vay nhanh.
Cập nhật giá liên tục và chiến lược đa khối
Một số hợp đồng còn áp dụng các biện pháp phòng thủ chủ động hơn: tăng tần suất cập nhật giá từ các pool thanh khoản tới oracle. Việc cập nhật liên tục giúp phản ánh kịp thời biến động giá, các biến động giả tạo sẽ bị phát hiện trong chu kỳ cập nhật tiếp theo.
Ngoài ra, còn có các hợp đồng áp dụng chiến lược “xác nhận hai khối”, yêu cầu các giao dịch phải thực hiện trong hai khối riêng biệt thay vì trong cùng một khối. Điều này kéo dài thời gian thao túng của kẻ tấn công, đồng thời cung cấp thêm thời gian để hệ thống phát hiện hành vi bất thường. Tất nhiên, phương pháp này cũng mang lại độ phức tạp, có thể ảnh hưởng tiêu cực đến trải nghiệm người dùng.
Hệ thống phát hiện mối đe dọa theo thời gian thực
Hơn nữa, một số hợp đồng DeFi và các công ty an ninh đã phát triển các công cụ phát hiện tấn công vay nhanh, có khả năng nhận diện hành vi thao túng giá bất thường trong quá trình giao dịch và phản ứng nhanh chóng. Tuy nhiên, do tính đa dạng và liên tục tiến hóa của các phương thức tấn công vay nhanh, hiệu quả của các công cụ này vẫn cần được kiểm chứng qua nhiều trường hợp thực tế.
Triển vọng tương lai của DeFi—Các cuộc tấn công vay nhanh sẽ không còn là mối đe dọa
Lĩnh vực DeFi vẫn đang trong giai đoạn đổi mới nhanh chóng. Mỗi vụ tấn công vay nhanh xảy ra đều thúc đẩy hệ sinh thái tiến bộ hơn, các cơ chế phòng thủ mới liên tục ra đời. Các hacker sẽ tiếp tục tìm ra các lỗ hổng, nhưng các công nghệ phòng thủ cũng ngày càng được củng cố.
Oracle phi tập trung, chiến lược TWAP, cập nhật giá liên tục, và các biện pháp phòng thủ đa khối đã chứng minh hiệu quả, ngày càng nhiều giao thức DeFi áp dụng các tiêu chuẩn này. Khi các tiêu chuẩn an toàn của ngành ngày càng hoàn thiện, rủi ro của các cuộc tấn công vay nhanh như một mối đe dọa hệ thống sẽ giảm đáng kể.
Tuy nhiên, điều quan trọng hơn là cộng đồng DeFi cần xây dựng nhận thức chung về an toàn. Các nhà phát triển khi thiết kế giao thức mới phải đặt an toàn lên hàng đầu, các tổ chức kiểm tra mã cần kiểm tra sâu hơn các điểm yếu trong cơ chế giá, và người dùng cũng cần thận trọng hơn khi chọn các nền tảng DeFi đã được xác thực kỹ lưỡng. Khi tất cả các bên tham gia đều xem việc phòng chống các cuộc tấn công vay nhanh là trách nhiệm cần thiết, mối đe dọa này mới có thể được xóa bỏ căn bản.
Trong quá trình không ngừng tiến bộ, công cụ sáng tạo vay nhanh không phải là vấn đề. Vấn đề nằm ở chỗ làm thế nào để cung cấp tiện lợi, đổi mới và cơ hội arbitrage, đồng thời xây dựng các cơ chế phòng thủ đủ mạnh. Khi cân bằng này đạt được, DeFi sẽ trở thành một hệ sinh thái tài chính an toàn và trưởng thành hơn.