Việc khai thác lỗ hổng 70 triệu đô la vào cuối tuần của các nền tảng lớn, bao gồm cả Curve, diễn ra vào thời điểm các nhà phát triển đang thảo luận về những thay đổi đối với mô hình thanh khoản AMM hiện hành.
Tài chính phi tập trung (DeFi) đang quay cuồng với một loạt các cuộc tấn công gần đây vào một số nền tảng chính vào Chủ nhật.
Nhà phát triển Taylor Monahan của MetaMask ước tính khoảng 70 triệu đô la đã bị đánh cắp vào cuối tuần này, bao gồm cả từ Curve Finance, một trong những sàn giao dịch phi tập trung có ảnh hưởng và được sử dụng nhiều nhất. Giao thức cho vay Alchemix, nền tảng yield Pendle và công cụ tài sản tổng hợp Metronome đều bị ảnh hưởng, cùng với giao thức NFT phi tập trung JPEG.
Đáp lại, những người cho vay DeFi bắt đầu rút tiền ra khỏi các nền tảng DeFi khác bao gồm cả Aave, làm tăng phí vay trong phân ngành tài chính chuyên biệt, The Defiant đưa tin.
Mọi thứ chắc chắn có thể tồi tệ hơn. Trong một tình huống bất ngờ, các hacker mũ trắng đã có thể xóa tài sản khỏi một số nhóm cho vay trên Curve để ngăn chặn hành vi trộm cắp của chúng. Hơn nữa, ba trong tổng số năm cuộc tấn công độc hại rõ ràng là do các chuyên gia MEV (giá trị có thể trích xuất tối đa) “chạy trước”. MEV là một khía cạnh gây tranh cãi nhưng không thể ngăn cản về cách thức hoạt động của các chuỗi khối công khai, cho phép các bên thứ ba và máy tự động tìm kiếm và sắp xếp lại các giao dịch chưa hoàn tất đang chờ trong mempool để kiếm lợi nhuận.
Coffeebabe.eth chịu trách nhiệm đảo ngược ít nhất hai trong số các cuộc tấn công độc hại bằng cách chạy trước các giao dịch, điều này có thể đã được thực hiện bởi nhiều tin tặc không được kết nối. Chainlink, nhà cung cấp dữ liệu trên chuỗi (hay còn gọi là hệ thống “oracle”), cũng đang nhận được một số lời khen ngợi vì đã ngăn chặn thiệt hại tài sản thế chấp trên toàn ngành trong cuộc tấn công – nhưng dường như theo cách vòng vo. Nếu các nền tảng như Aave hoặc các giao thức cho vay DeFi khác sử dụng pool thanh khoản trên Curve CRV/ETH (hiện đã cạn kiệt) như một oracle trên chuỗi, thì họ sẽ hoàn toàn mắc nợ khó đòi,” LINK Marine ChainlinkGod đã tweet. Đủ đúng, nhưng có thể là một tautology.
Bản chất của các cuộc tấn công dường như bắt nguồn từ các lỗ hổng được tìm thấy trong ngôn ngữ lập trình có tên Vyper được sử dụng đặc biệt để khởi chạy các hợp đồng thông minh trên Ethereum. Nhóm cốt lõi của ngôn ngữ lập trình - được hỗ trợ bởi nhóm Curve - đã thông báo rằng các phiên bản cũ hơn của Vyper dễ bị tấn công "reentrancy". Có thể mất vài ngày, vài tuần hoặc vài tháng để thực sự hiểu điều gì đã xảy ra, mặc dù đại diện của Vyper đã nói rằng các dự án sử dụng phiên bản 0.2.15, 0.2.16 và 0.3.0 sẽ có khả năng bị ảnh hưởng.
Các vụ hack trong thế giới tiền điện tử không hoàn toàn giống như các vụ hack ở những nơi khác. Việc những kẻ tấn công trả lại số tiền bị đánh cắp ngày càng phổ biến, về bản chất, luôn có thể theo dõi được trên chuỗi khối, điều này có thể khiến mọi người khó có thể tiêu số tiền bị nhiễm độc hoặc rút tiền ở bất cứ đâu mà cả thế giới không biết về nó. Bạn sẽ nghĩ điều này có nghĩa là các cuộc tấn công sẽ ít phổ biến hơn trong tiền điện tử – nhưng rõ ràng không phải vậy. Mới hôm nay, công ty kiểm toán bảo mật CertiK tuyên bố rằng người dùng tiền điện tử đã mất ít nhất 303 triệu đô la từ các vụ khai thác lỗ hổng chỉ riêng trong tháng 7 năm 2023.
Mặc dù các khía cạnh kỹ thuật của các cuộc tấn công vẫn đang được giải quyết và tổng số vẫn chưa được biết, nhưng có thể có ít nhất một điểm rõ ràng. Trong những ngày sau thông báo về UniswapX, một sản phẩm mới của nhóm đằng sau sàn giao dịch phi tập trung phổ biến nhất Uniswap, về cơ bản sẽ sử dụng cơ chế ngoài chuỗi để thực hiện giao dịch, do đó tiết kiệm chi phí phí giao dịch cho người dùng Uniswap, đã có cuộc thảo luận về tương lai của DEX. Rõ ràng thế giới đang đi theo hướng này: Cowswap và 0x và một loạt các giao thức bao gồm cả UniswapX hiện tại đều đang sử dụng các mô hình “thực thi tốt nhất” áp dụng một số khía cạnh của giao dịch tiền điện tử ngoài chuỗi.
Viết bởi: Daniel Kuhn
Nguồn: CoinDesk
Tài chính phi tập trung (DeFi) đang quay cuồng với một loạt các cuộc tấn công gần đây vào một số nền tảng chính vào Chủ nhật.
Nhà phát triển Taylor Monahan của MetaMask ước tính khoảng 70 triệu đô la đã bị đánh cắp vào cuối tuần này, bao gồm cả từ Curve Finance, một trong những sàn giao dịch phi tập trung có ảnh hưởng và được sử dụng nhiều nhất. Giao thức cho vay Alchemix, nền tảng yield Pendle và công cụ tài sản tổng hợp Metronome đều bị ảnh hưởng, cùng với giao thức NFT phi tập trung JPEG.
Đáp lại, những người cho vay DeFi bắt đầu rút tiền ra khỏi các nền tảng DeFi khác bao gồm cả Aave, làm tăng phí vay trong phân ngành tài chính chuyên biệt, The Defiant đưa tin.
Mọi thứ chắc chắn có thể tồi tệ hơn. Trong một tình huống bất ngờ, các hacker mũ trắng đã có thể xóa tài sản khỏi một số nhóm cho vay trên Curve để ngăn chặn hành vi trộm cắp của chúng. Hơn nữa, ba trong tổng số năm cuộc tấn công độc hại rõ ràng là do các chuyên gia MEV (giá trị có thể trích xuất tối đa) “chạy trước”. MEV là một khía cạnh gây tranh cãi nhưng không thể ngăn cản về cách thức hoạt động của các chuỗi khối công khai, cho phép các bên thứ ba và máy tự động tìm kiếm và sắp xếp lại các giao dịch chưa hoàn tất đang chờ trong mempool để kiếm lợi nhuận.
Coffeebabe.eth chịu trách nhiệm đảo ngược ít nhất hai trong số các cuộc tấn công độc hại bằng cách chạy trước các giao dịch, điều này có thể đã được thực hiện bởi nhiều tin tặc không được kết nối. Chainlink, nhà cung cấp dữ liệu trên chuỗi (hay còn gọi là hệ thống “oracle”), cũng đang nhận được một số lời khen ngợi vì đã ngăn chặn thiệt hại tài sản thế chấp trên toàn ngành trong cuộc tấn công – nhưng dường như theo cách vòng vo. Nếu các nền tảng như Aave hoặc các giao thức cho vay DeFi khác sử dụng pool thanh khoản trên Curve CRV/ETH (hiện đã cạn kiệt) như một oracle trên chuỗi, thì họ sẽ hoàn toàn mắc nợ khó đòi,” LINK Marine ChainlinkGod đã tweet. Đủ đúng, nhưng có thể là một tautology.
Bản chất của các cuộc tấn công dường như bắt nguồn từ các lỗ hổng được tìm thấy trong ngôn ngữ lập trình có tên Vyper được sử dụng đặc biệt để khởi chạy các hợp đồng thông minh trên Ethereum. Nhóm cốt lõi của ngôn ngữ lập trình - được hỗ trợ bởi nhóm Curve - đã thông báo rằng các phiên bản cũ hơn của Vyper dễ bị tấn công "reentrancy". Có thể mất vài ngày, vài tuần hoặc vài tháng để thực sự hiểu điều gì đã xảy ra, mặc dù đại diện của Vyper đã nói rằng các dự án sử dụng phiên bản 0.2.15, 0.2.16 và 0.3.0 sẽ có khả năng bị ảnh hưởng.
Các vụ hack trong thế giới tiền điện tử không hoàn toàn giống như các vụ hack ở những nơi khác. Việc những kẻ tấn công trả lại số tiền bị đánh cắp ngày càng phổ biến, về bản chất, luôn có thể theo dõi được trên chuỗi khối, điều này có thể khiến mọi người khó có thể tiêu số tiền bị nhiễm độc hoặc rút tiền ở bất cứ đâu mà cả thế giới không biết về nó. Bạn sẽ nghĩ điều này có nghĩa là các cuộc tấn công sẽ ít phổ biến hơn trong tiền điện tử – nhưng rõ ràng không phải vậy. Mới hôm nay, công ty kiểm toán bảo mật CertiK tuyên bố rằng người dùng tiền điện tử đã mất ít nhất 303 triệu đô la từ các vụ khai thác lỗ hổng chỉ riêng trong tháng 7 năm 2023.
Mặc dù các khía cạnh kỹ thuật của các cuộc tấn công vẫn đang được giải quyết và tổng số vẫn chưa được biết, nhưng có thể có ít nhất một điểm rõ ràng. Trong những ngày sau thông báo về UniswapX, một sản phẩm mới của nhóm đằng sau sàn giao dịch phi tập trung phổ biến nhất Uniswap, về cơ bản sẽ sử dụng cơ chế ngoài chuỗi để thực hiện giao dịch, do đó tiết kiệm chi phí phí giao dịch cho người dùng Uniswap, đã có cuộc thảo luận về tương lai của DEX. Rõ ràng thế giới đang đi theo hướng này: Cowswap và 0x và một loạt các giao thức bao gồm cả UniswapX hiện tại đều đang sử dụng các mô hình “thực thi tốt nhất” áp dụng một số khía cạnh của giao dịch tiền điện tử ngoài chuỗi.
Viết bởi: Daniel Kuhn
Nguồn: CoinDesk