Thị trường đi xuống cũng chính là thời điểm thích hợp những hình thức lừa đảo một cách trắng trợn, tấn công, rug pull nổi lên. Chính cá nhân mình cũng là một người sử dụng DeFi và đồng thời rất hay trải nghiệm các dự án khác nhau. Vì thế cho nên việc trang bị kiến thức giúp có thể bảo vệ tốt tài sản của bản thân là một điều thiết yếu, đặc biệt nhất đó chính là trong khoảng thời gian này.
Mình sẽ chia sẻ cho các bạn danh sách 10 hình thức tấn công DeFi nổi bật nhất ở thời điểm hiện tại. Trong số này có tương đối nhiều hình thức tấn công một cách tinh vi mà nhiều người sử dụng vẫn chưa biết. Bên cạnh đó, Coin98 Insights cũng có bài viết về 19 hình thức lừa đảo nổi tiếng ở trong Crypto. Đây là dồn tất cả những chiêu trò cơ bản thường được những người không tốt sử dụng cho người mới tham gia vào Crypto nói chung.
Xem thêm
- Liquidity Mining là gì? Chi tiết về chiến lược Liquidity Mining
- Tìm hiểu mô hình hoạt động UNI (Uniswap V3) với Cơ hội đầu tư trong đó
Sau đây chính là 10 hình thức tấn công DeFi nổi tiếng ở thời điểm hiện tại
Tấn công bằng Oracle
Oracle nói theo một cách dễ hiểu là hệ thống cung cấp thông tin giá cả cho các loại tài sản, các dự án DeFi phụ thuộc cực kỳ nhiều vào oracle để có những cập nhật liên quan về giá. Anh em hãy cứ thử nghĩ xem nếu như mà giá của token A ngoài thị trường là 10 USD nhưng ở trong một DeFi protocol hiển thị là 100 USD thì người sử dụng sẽ làm gì? Chắc chắn là mua token A ở thị trường và bán ở trên protocol đó để có thể kiếm lời. Việc này tạo ra thiệt hại vô cùng nặng nề cho protocol đó và những ai đã cung cấp tài sản vào protocol đó.
Giải pháp:
Để có thể không gặp phải trường hợp ở phía bên trên và đồng thời có những thiệt hại không đáng có, người dùng cần phải nên sử dụng những DeFi protocol tích hợp oracle của các bên có độ uy tín cao. Điều này sẽ giúp giảm tương đối nhiều rủi ro từ các vụ tấn công bằng oracle nói chung.
Oracle của Chainlink đang bảo vệ cho phần lớn tài sản của Crypto – Nguồn: Coin98 Analytics
Tấn công dùng flash loans
Flash Loans chính là hình thức vay không cần phải tài sản thế chấp (uncollateralized) với điều kiện duy nhất đó chính là số tiền vay bắt buộc cần phải được trả lại cho nền tảng cho vay trong cùng một giao dịch. Nghĩ theo một cách đơn giản hơn, người sử dụng vay sau đó làm cái gì đấy với khoản vay đó, cuối cùng trả lại số tiền đã vay, tất cả hoạt động đó được diễn ra trong 1 giao dịch.
Đa số tất cả những vụ tấn công dùng flash loans đều được lập trình và đồng thời được thực hiện bởi những con bot. Do đấy chủ sở hữu của những con bot đó có thể kiếm được chi phí ngay cả khi đang ngủ ngon lành và đồng thời những DeFi protocol có chênh lệch giá (thường thường thì nguyên nhân là do lỗi từ oracle) chính là những miếng mồi vô cùng ngon cho các con bot này.
Lấy một thí dụ đơn giản từ việc tấn công bằng Oracle ở trên, trong trường hợp người sử dụng thấy cơ hội giao dịch chênh lệch giá token A từ 10 lên 100 USD tuy nhiên họ lại không có tiền mà chỉ có token B thì phải làm như thế nào?
⇒ dùng token B làm tài sản thế chấp vay ra token A hoặc ETH/USDC… để có thể mua token A và đồng thời bán lấy tiền trên DeFi protocol có lỗi oracle, sau đấy trả hết nợ và lấy lại token B.
Thí dụ được mình đơn giản hóa, những hình thức tấn công dùng flash loans có khả năng có nhiều hình thức khác nhau và đồng thời phức tạp, nhì nhằng hơn rất nhiều. Tại đây người sử dụng có thể truy cập để có thể nắm thêm thông tin chi tiết liên quan về hình thức tấn công flash loans.
Với flashloans, người tấn công làm cho giá của tài sản thay đổi hoàn toàn và kiếm thêm tiền từ khoản chênh lệch đó – Link tham khảo
Giải pháp:
Đa số tất cả những dự án bị flashloans attack đều là do lỗi của dịch vụ oracle hoặc tỷ trọng tài sản không đồng đều trong pool. Người sử dụng phải nên ưu tiên dự án có volume giao dịch ổn định và dùng dịch vụ oracle uy tín, chất lượng (khi có nhiều người dùng chỉ cần đúng duy nhất một chênh lệch giá nhỏ tí ti thì sẽ có người giao dịch chênh lệch giá, từ đó giúp ổn định tỷ trọng trong pool).
Tấn công bằng quyền quản trị (51% attack)
Nếu như mà người tấn công có thể có một lượng vô cùng lớn token quản trị, chúng có thể lợi dụng cơ chế quản trị của protocol và đồng thời không từ bất cứ một thủ đoạn nào để có thể kiếm lời cho bản thân. Hình thức ở phía bên trên được mọi người gọi là 51% attack và có thể được kết hợp với flash loan để tạo ra cuộc tấn công mà người không tốt không cần phải có token của dự án.
Thí dụ, một DeFi protocol có cơ chế chỉ cần đúng có hơn 50% lượng token A đồng ý cho một đề xuất nào đó thì đề xuất đó sẽ được thông qua. Người xấu dùng flash loans và đồng thời vay đủ 51% lượng token A (hoặc vay tiền để mua token A), sau đấy chúng tạo và thông qua đề xuất gửi 100 triệu USDC cho mình. Cuối cùng hắn chỉ cần trả nợ cùng một khoản chi phí và có trong mình khoản lời 100 triệu USDC.
Trong thực tế trường hợp này đã từng xảy ra với Beabstalk và kẻ xấu đã có thể bỏ túi được 182 triệu USDC. Nếu như mà muốn biết chi tiết hơn anh em có thể tham khảo tại đây.
Giải pháp:
Để có thể tránh được các dự án có nguy cơ bị tấn công một cách không thương tiếc bằng quyền quản trị, người sử cần phải nên chọn lựa những DeFi protocol có cơ chế quản trị có rào cản lớn hoặc phải thật chặt chẽ với kẻ tấn công. Thí dụ như chúng ta sẽ chọn lựa những dự án có tỷ lệ đồng thuận cao thì đồng nghĩa với việc đề xuất mới được thông qua hoặc chọn những dự án mà kẻ tấn công phải có một số tài sản vô cùng lớn để có thể nắm đủ lượng token cần thiết nhất để thông qua đề xuất một cách nhanh nhất.
Front running
Front-running là việc lợi dụng việc hoàn toàn biết trước một giao dịch trong tương lai có tác động tới giá cả và đặt lệnh ngay trước giao dịch đó để có thể kiếm lời cho bản thân. Đối với thiết kế của Ethereum hoặc các blockchain tương tự (tham khảo chi tiết ở link phía bên trên) đã tạo điều kiện hết mức để các bot có thể kiếm lời bằng việc front run các giao dịch khác.
Thí dụ:
Ví dụ về front-running bot. Txs hash: giao dịch 1, giao dịch 2, giao dịch 3
Thí dụ liên quan về cặp USDC-SAK3, chúng ta có thể thấy một cách rõ rằng ngay ở giữa lệnh mua 1 SAK3 có 2 lệnh đó là bán và mua đồng thời 0.4x SAK3 từ cùng một địa chỉ, đây chính là điển hình của việc người sử dụng bị front-run trong crypto. Nhìn một cách vào chi tiết txs hash ở phía bên trên, chỉ có duy nhất qua 2 lệnh giao dịch, con bot này đã bỏ túi hơn $1,500 khi mua 0.4x SAK3 ở giá $7,473 và bán đi với giá $9,013.
Giải pháp:
Để người sử dụng có thể hạn chế việc bị front-run một số biện pháp có thể áp dụng gồm có:
- Chỉnh slippage thấp.
- Chia nhỏ giao dịch.
Tấn công bằng admin key
Rất nhiều protocols có “admin key” cho phép một ví đặc biệt có quyền kiểm soát quỹ của protocol. Nếu như mà admin key bị tấn công một cách nặng nề, quỹ có thể sẽ bị lấy mất.
Thí dụ điển hình có thể nhắc đến vụ tấn công vào EasyFi, admin key của chủ tịch EasyFi đã bị tấn công nặng nề và người xấu đã có thể lấy được 2.98 triệu token EASY và 6 triệu USD từ pool thanh khoản ( vào thời điểm đó có trị giá 75 triệu USDC). Nếu như mà muốn tìm hiểu chi tiết hơn anh em có thể tham khảo tại đây.
Giải pháp:
Trước hết là phải chọn lựa dự án một cách hết sức cẩn thận, đầu tư ít tài sản cho những dự án có backer hoặc team ít thông tin và không chất lượng. Hết sức cẩn thận với những protocol có “admin key” và có quá nhiều quyền lực tập trung ở một một nhóm hoặc một người nào đó.
Front-ends lừa đảo
Front-ends chính là giao diện hiển thị cho app mà bạn dùng, khi người sử dụng tương tác trên giao diện đó thì đồng nghĩa với việc sẽ tác động trực tiếp tới các yếu tố nằm dưới (back-ends) giúp người sử dụng có thể thực hiện được những tác vụ mà mình thật sự muốn làm. Bên cạnh đó phần giao diện này cũng có khả năng bị tấn công và đồng thời gây thiệt hại rất lớn cho người sử dụng.
Thí dụ cho hình thức tấn công này chính là Badger DAO với thiệt hại ở tại khoảng thời gian tấn công lên tới 120 triệu đô. Kẻ tấn công đã nhìn trúng vào API key của Badger DAO làm cho người sử dụng khi tương tác bình thường sẽ cấp quyền chấp nhận không giới hạn (Unlimited approval) cho ví và tạo cơ hội tốt để người xấu có thể rút tất cả tài sản từ ví đó.
Giải pháp:
Luôn luôn phải kiểm tra một cách kỹ càng việc approve khi thực hiện giao dịch trên ví. Nếu như mà bạn tương tác với một dự án không quen và cấp quyền cho dự án đó, thì có thể sử dụng những tools giúp Revoke như Approved.zone hoặc Coin98 Super App.
Dùng Coin98 Super App để có thể theo dõi một cách chi tiết các lệnh approve trên ví và xóa bỏ chúng hoàn toàn nếu như mà cần thiết
Phương pháp để có thể bảo vệ tài sản một cách tốt nhất đó chính là hiểu chi tiết được cách hacker chiếm tài sản. Sau đây hãy cùng xem video “Dự án bị hack tràn lan do đâu? Bỏ túi nhiều tips bảo vệ ví triệu đô” để cùng hiểu các hình thức tấn công nổi tiếng cũng như một số tips bảo vệ tài sản nhé!
Tấn công qua các trang mạng xã hội
Đối với việc có tài khoản ở các mạng xã hội như Telegram Discord, Twitter chính là một điều thông thường với người sử dụng Crypto. Tìm kiếm cơ hội, tham gia vào các cộng đồng lớn nhỏ, nhu cầu cập nhật tin tức đã tạo điều kiện để một bộ phận lừa đảo xuất hiện trên thế giới này. Thường thường giả danh là những thành viên của dự án hoặc chính dự án để mời người sử dụng truy cập vào các trang web giả mạo, không có thật hoặc các đường link vô cùng nguy hiểm.
Đây chính là hình thức tấn công vô cùng nổi tiếng và đồng thời xuất hiện liên tù tì, đề nghị người sử dụng bắt buộc phải cảnh giác cao độ và tránh bị lừa vì những lợi ích “từ trên trời rơi xuống”.
Giả mạo làm các dự án uy tín và gửi những đường link mint token với giá hời
Giải pháp:
“Không có bất cứ bữa trưa nào là miễn phí”, nếu như mà một ngày nào đó bạn nhận được một món hời từ trên trời rơi xuống dù có ở bất kỳ đâu thì chắc chắn 100% đó là lừa đảo. Vì thế cho nên mọi người đừng tin vào những thứ đấy. Hình thức tấn công qua các trang mạng xã hội mặc dù là rất dễ để có thể nhận biết nhưng mà có tần suất xuất hiện liên tù tì và đồng thời kẻ tấn công đang càng ngày càng tinh vi, qua mắt được mọi người. Người sử dụng nên hết sức chú ý và phải thật cẩn thận với toàn bộ những đề nghị liên quan trực tiếp đến tài sản của mình.
Chiếm đoạt tài khoản mạng xã hội
Tinh xảo hơn rất nhiều thủ đoạn giả mạo các trang mạng xã hội ở phía bên trên, kẻ tấn công sẽ ngang nhiên hack và dùng tài khoản mạng xã hội của chủ thể để có thể đưa các thông tin không đúng nhằm chiếm đoạt tài sản người sử dụng.
Ngoài ra Bored Ape instagram, trang mạng xã hội của một trong những bộ sưu tập NFT phổ biến nhất ở thời điểm hiện tại đã từng bị hack. Theo đó người tấn công thông báo airdrop cho Bored Ape holder và chỉ cần connect ví là sẽ có thể nhận được airdrop. Sau vụ tấn công này một lượng NFTs trị giá 2.8 triệu USD đã bị lấy mất một cách nhanh chóng.
Giải pháp:
Phải hết sức cẩn thận khi có những thông báo liên quan trực tiếp đến “Free airdrop, give away,…” cho dù là thông báo từ những trang mạng xã hội của các dự án đang tin cậy. Trước khi tham gia cần phải xác nhận thông tin với những thành viên của team.
Tấn công layer 1
“Độ bảo mật của các smart contract chỉ tương đương với độ bảo mật của blockchain mà chúng chạy phía trên”. Nếu như mà blockchain bị tấn công, tất cả dự án ở phía bên trên đều sẽ bị ảnh hưởng và đồng thời gây thiệt hại rất lớn cho người sử dụng.
Ethereum Classic, một bản hardfork của Ethereum đã bị tấn công 51 phần trăm và hoàn toàn mất đi sự tin tưởng từ bên phía cộng đồng của mình.
Giải pháp:
Gia nhập vào những layer 1 uy tín, chất lượng đã được battle test trong một khoảng thời gian dài.
Tấn công bởi các bên khác
Chắc hẳn là bạn đọc đều đã từng biết tới sự kiện UST mất peg, nguồn cơn cho sự sụp đổ hoàn toàn của cả một đế chế Terra. Nguyên nhân của vụ tấn công có thể đã có sự sắp đặt từ trước, bởi vì là chỉ trong một khoảng thời gian rất ngắn một lượng lớn UST bị rút ra ở Anchor, từ đấy trở đi dẫn đến Panic Sell.
Ngoài ra đây là một sự kiện lớn vượt ra cả ngoài thị trường Crypto khi một công ty từng có giá trị vốn hóa 40 tỷ đô sụp đổ chỉ có đứng trong vài ngày. Việc này đã cho thấy một cách rõ rằng tính rủi ro của thị trường vốn còn mới như Crypto khi kể cả những dự án lâu năm, top đầu cũng có thể “biến mất” chỉ trong một khoảng thời gian ngắn.
Vốn hóa của Terra từ 40 tỷ giảm xuống còn hơn 1 tỷ đô chỉ trong một thời gian ngắn
Giải pháp:
Không all in vào một dự án, dù cho chúng có thuộc top đầu thị trường. Để mà nói kiếm tiền ở trong Crypto không hề đơn giản một chút nào và đồng thời ta nên đặt niềm tin bình thường thôi vào một dự án nào đó. Anh em có thể tham khảo 5 bài học “để đời” nhờ sự kiện UST & LUNA sập mạnh từ một người chuyên follow hệ Terra chia sẻ để có thêm kinh nghiệm cho bản thân.
Lời kết
“Để kiếm được tiền, bạn phải giữ được tiền đã“.
Ở trong giai đoạn thị trường xấu tới như thế, cá nhân mình sẽ tập trung vào việc bảo vệ tài sản một cách an toàn hơn là tập trung vào những cơ hội kiếm tiền rủi ro cao.
Ở phía bên trên chính là Top 10 hình thức tấn công DeFi và phương pháp để có thể bảo vệ tài sản của bản thân, mình vô cùng hy vọng rằng đã giúp anh em trang bị thêm kiến thức cho việc đầu tư của mình. Anh em đã gặp phải vụ tấn công nào chưa? Hãy bình luận ở phía bên dưới bài viết để thảo luận và chia sẻ cùng Tienao.com.vn nhé!
Xin chào và hẹn gặp lại anh em ở những bài viết tiếp theo nhé. Nếu như mà anh em thấy bài viết này hay và ý nghĩa thì hãy chia sẻ cho những anh em khác cùng biết nhá.