Rug-pull & Exploit – Vùng đất tối của thế giới Crypto

• Pickle Finance thiệt hại $19.7M.
• Alpha & Cream Finance thiệt hại $37.5M.
• Paid Network thiệt hại $27M.
• EasyFi thiệt hại $59M.
• …..

Ngày 10 tháng 08, Poly Network với tổng thiệt hại lên tới 611 triệu đô, trở thành một vụ hack DeFi lớn nhất từ trước cho tới nay (tuy là người tấn công hiện đang trả dần dần lại số tài sản đó cho Poly Network) và đồng thời mới nhất là dự án Dao Maker bị tấn công vào ngày 12 tháng 08 với một mức thiệt hại lên tới 7 triệu đô la.

Những vụ tấn công mới nhất trong Crypto – nguồn: Coin98 Insights

Không cái gì là màu hồng cả đằng sau không gian Crypto với rất nhiều ánh hào quang rực rỡ và cơ hội rất lớn để có thể thay đổi cuộc đời là một vùng đất vô cùng hẻo lánh, tăm tối, là một nơi chỉ cần có bất cứ một chút lầm lỡ cũng có thể làm cho những người đặt chân mất hết toàn bộ. Ở trong bài viết hôm nay chúng ta sẽ cùng nhau khám phá vùng đất này, làm theo cách nào để có thể nhận thấy được những con quái vật siêu to khổng lồ chỉ chực chờ để tấn công, đây chính là kẻ sát nhân đội lốt hiệp sĩ và đồng thời cần chuẩn bị những thứ gì nếu như mà muốn vào vùng đất này.

Xem thêm

• (PCV) Protocol Controlled Value là gì? Lời giải cho bài toán Liquidity
• SONM là gì? Những điểm nổi bật của đồng tiền ảo SNM

Exploited là gì?

Exploited là một thuật ngữ ám chỉ cho việc người không tốt lợi dụng những kẽ hở, lỗi trong smart contract để thực hiện các vụ tấn công vào platform nhằm để có thể chiếm đoạt được tất cả tài sản người sử dụng.

Rug Pull là gì?

Rug Pull sử dụng để nói về việc nhà phát triển không cần dự án của mình và “cao chạy xa bay” với số vốn của nhà đầu tư.

Tuy là có không giống nhau về bản chất nhưng mà đến cuối cùng thì người chịu thiệt hại nhiều nhất lại thuộc về bên phía người sử dụng.

“Một điều khá buồn cười là hầu hết mọi người chỉ quan tâm đến lợi nhuận mà họ CÓ THỂ đạt được, chứ không quan tâm đến RỦI RO mà họ có thể gặp phải”.

Kẻ săn mồi hay kẻ bị săn?

“Trong một lúc, token X pump rất mạnh, phút tiếp theo mọi thứ sụp đổ. Nhóm telegram với những thành viên tích cực, sôi nổi và luôn mở miệng x10, x100 bỗng nhiên tĩnh lặng. Admin khóa chat và cuối cùng xóa kênh, trang Twitter với hàng chục nghìn người theo dõi cũng biến mất theo.”

“Bãi farm A có APY hàng trăm nghìn %, cho vào một chút thì chẳng mấy chốc lấy lại được vốn”. Có rất nhiều người có cùng tư tưởng giống như thế làm cho TVL dự án tăng một cách vô cùng mạnh và “bùm”, giá token giảm 99%, thanh khoản bị rút cạn, một lỗi hệ thống diễn ra “Lỗi này có thể do một kẻ tấn công nào đó hoặc có thể tới từ lòng tham của những người trong team, nhưng với những người bỏ tiền vào dự án điều này có quan trọng không?”

Ở trong vùng đất tối tăm này vẫn còn vô cùng nhiều câu chuyện tương tự.

Những con quái vật chỉ chực chờ tấn công

Trước hết cần phải nhấn mạnh một điều rằng, ở trong vùng đất này số lượng quái vật nhiều hơn vô cùng nhiều so với thứ mà bạn đang suy nghĩ. Chúng đều một hình dạng riêng và đồng thời mỗi một trong số chúng lại có nanh vuốt không  giống nhau:

• Poly Network bị tấn công một cách không thương tiết do có lỗi liên quan trực tiếp đến bridge.
• Một platform đã có thời gian dài hoạt động không có một chút vấn đề nào như Cream Finance, cuối cùng do ký kết hợp đồng với Alpha Finance và có kẽ hở trong hệ thống mà bị người không tốt tấn công.
• Mặc dù là ThorChain đã được tên hacker cảnh báo là có sự cố vô cùng nghiêm trọng trong hệ thống tuy nhiên vẫn không để ý và hậu quả cuối cùng là bị tấn công hai lần liên tiếp nhau. Đây chính là hậu quả của việc không nghe người khác nói.
• Và đồng thời rất nhiều trường hợp dự án ra mắt và thu hút tài sản, cuối cùng thì rút tất cả thanh khoản và cuốn gói ra đi với số vốn của nhà đầu tư.

Thông tin chi tiết về các vụ hạch anh em có thể tham khảo thêm thông qua Top 6 vụ Exploit nổi bật nhất trong nửa đầu năm 2021.

So với tiềm năng lợi nhuận thì tỷ lệ rủi ro lớn hơn vô cùng nhiều và đồng thời việc hiểu một cách chi tiết điều này là rất cần thiết trước khi tiếp tục bước những bước tiếp theo.

Kẻ sát nhân đội lốt hiệp sĩ

Audit là một việc các dự án đưa sản phẩm của mình (code) cho các công ty chuyên về lĩnh vực bảo mật kiểm tra. Những công ty audit được mọi người xem là những hiệp sĩ đắc lực cùng dự án và đồng thời như một tấm khiên chắn để có thể bảo vệ tuyệt đối vào những vùng đất Crypto đầy nguy hiểm, gian nan. Từ hồi ngày xưa rồi, khi tìm hiểu bất cứ một dự án nào đó một trong những việc đầu tiên cần làm là nhìn xem dự án đó đã được audit hay chưa.

Nếu như mà dự án đã được audit sẽ cho người sử dụng thêm sự tự tin nhiều hơn và đồng thời tăng thêm tính bảo đảm tuyệt đối cho sản phẩm gấp rất rất nhiều lần so với một dự án ẩn danh và không được audit.

“Vậy dự án chỉ cần được audit là an toàn và tôi có thể đưa tài sản của mình vào mà không phải lo lắng?”

“Thật vậy không?”

Sau đây chính là bảng tổng hợp giá trị thiệt hại của các dự án được audit bởi những công ty audit trong ngành:

Giá trị mất mát từ những dự án được audit bởi các công ty audit

Bên cạnh đó vẫn có “những con quái vật đội lốt hiệp sĩ” mà chỉ cần bạn không có đủ trải nghiệm và là một người mới thì sẽ bị đánh lừa ngay lập tức bởi các bộ giáp rất sáng có tên “audited by…”.

Ở thời điểm hiện tại vấn đề của các công ty audit:

•  Nếu dự án bị tấn công (trừ việc bị tổn hại danh tiếng) thì không cần phải chịu bất cứ một hình thức trách nhiệm nào.
• Chi phí audit đắt đỏ, tốn kém: Trailofbits.com $16,000, Cryptomaniacs $5,000, Sigmaprime.io $27,500 cho 359 dòng code Solidity – Trích từ tâm sự của Andre Cronje, Founder của Yearn Finance liên quan về việc phát triển dapp từ những ngày thứ nhất của mình.

Ở thời điểm hiện tại những công ty audit đang ở một vị thế mà chỉ có lợi cho bản thân chứ không bao giờ có hại. Hiện tại, cộng đồng Crypto đã tự chia sẻ từ mất mát mà kinh nghiệm của bản thân rằng “việc audit cũng chỉ được thực hiện bởi con người và vẫn không thể đảm bảo được an toàn cho người dùng”.

Tuy vậy nhưng mà không thể không thừa nhận rằng, audit dù nhiều hay ít, thì nó cũng góp phần để có thể tăng tính bảo mật cho sản phẩm và đồng thời việc sẵn sàng bỏ tiền cho nhiều bên audit cũng thể hiện ra một tính vô cùng nghiêm túc từ phía nhà phát triển, đây đồng thời cũng chính là một yếu tố vô cùng tốt để có thể nhận xét và đánh giá dự án.

Cần chuẩn bị gì nếu muốn đặt chân vào vùng đất Crypto

Mặc dù là vùng đất này có rất nhiều những nguy hiểm, gian nan nhưng mà chỉ cần phải chuẩn bị không thiếu thứ gì, ta cũng có thể tăng tương đối nhiều tính an toàn cho bản thân. Do đấy với vị thế người sử dụng, một số việc ta có thể làm gồm có:

• Không bao giờ all in: Mặc dù có một kèo nào đó đảm bảo đến mức nào hay có lợi nhuận hấp dẫn, ta luôn luôn chỉ nên gia nhập với một số vốn mà mình có thể mất mà thôi.
• Bảo mật tốt thông tin: Không bao giờ để lộ seed phrase và luôn luôn giữ an toàn tuyệt đối, đồng thời chia làm nhiều ví cho các mục đích không giống nhau (ví để săn airdrop, ví để chuyển test sản phẩm, ví để giữ tài sản,…).
• Tránh những thứ “lạ”: Không bao giờ có trường hợp click vào đường link không quen, hoặc là không bao giờ động vào một token free mà không hiểu vì sao lại có ở trong ví.
• Luôn học hỏi: Hiện có vô cùng nhiều chiêu thức lừa lọc khác nhau và đồng thời đề nghị chúng ta luôn luôn học hỏi không ngừng và tiếp thu thêm nhiều kinh nghiệm để có thể tăng tính an toàn tuyệt đối cho tài sản của chính mình.

Tham khảo thêm:

• Các chiêu trò lừa đảo (scam) trong crypto & phương pháp phòng tránh.
• Cẩm không bao giờ được năng bảo vệ tài sản Crypto 2021.

Closing Thought

DeFi nói chung và Crypto nói riêng mở ra vô cùng nhiều cơ hội cho những người tham gia, tuy vậy nhưng mà đây cũng chính là một lĩnh vực còn cực kỳ mới và đồng thời tiềm ẩn rất nhiều rủi ro. Riêng đối với việc biết rõ một cách kỹ càng những nguy cơ mà bản thân có thể gặp sẽ giúp chúng ta vô cùng nhiều trong việc không bao giờ mất tiền, từ đấy trở đi mới có thể an phận kiếm được tiền từ thị trường này.

Hiện vẫn còn có rất nhiều vấn đề liên quan trực tiếp đến việc audit cũng như những giải pháp nhằm để có thể bảo đảm an toàn tuyệt đối trong không gian Crypto, và đồng thời đây cũng chắc chắn 100% sẽ là một nhánh được quan tâm chú ý ở trong tương lai.

Anh em nghĩ như thế nào về những vấn đề này? audit liệu có còn an toàn giống như bản chất của nó hay không? Hãy bình luận ý kiến của mọi người ngay ở phía bên dưới bài viết và đồng thời tham gia vào nhóm Insights Chat để có thể được trao đổi cùng với admin hoặc nhiều anh em khác ở trong cộng đồng!

Xin chào và hẹn gặp lại mọi người ở những bài viết tiếp theo.