Trong bài viết trước chúng ta đã tìm hiểu về khái niệm Flash Loans hay khoản vay nhanh là gì. Tuy là một công cụ đòn bẩy nhanh gọn và hữu hiệu, tuy nhiên sự giới hạn về công nghệ khiến các khoản vay nhanh vẫn tiềm ẩn rất nhiều rủi ro chưa thể khắc phục, từ đó xảy ra các vụ Flash Loans Attack gây thiệt hại nặng nề cho cả người dùng lẫn các giao thức.

Flash Loans là gì?

Flash Loans (Khoản vay nhanh) là một chức năng cho phép nhà đầu tư vay tiền nhanh mà không cần thế chấp tài sản, nhưng họ phải trả lại số tiền đã vay trong cùng một giao dịch. 

Điều này đồng nghĩa với việc người dùng sẽ vay một số tiền nhất định và phải hoàn trả lại tiền trong một khoảng thời gian đủ để hoàn thành một block giao dịch.

Bối cảnh hiện tại của Flash Loans

Kể từ khi bắt đầu phát triển các dự án cho vay phi tập trung, tất cả các khoản vay bằng tiền điện tử đều yêu cầu người vay cung cấp tài sản thế chấp cao hơn khoản vay .

Điều này đã thay đổi vào tháng 1 năm 2020 khi công ty cho vay Aave có trụ sở tại Vương quốc Anh tung ra một giao thức cho vay phi tập trung dựa trên các nhóm thanh khoản. Các khoản cho vay không cần thế chấp đã được cung cấp cho các nhà phát triển DeFi. 

Yêu cầu cơ bản đối với khoản vay rất đơn giản: các giao dịch để nhận và hoàn trả khoản vay, cũng như bất kỳ giao dịch trung gian nào với các khoản tiền đã phát hành, phải diễn ra trong một block giao dịch. Vì lý do này, chỉ mất vài giây từ khi vay đến khi trả hết khoản vay. 

Đồng thời, quy mô của một khoản vay nhanh có thể lên tới hàng chục triệu USD và khoản phí cho việc phát hành chỉ là 0,09% (ngoài chi phí gas để truy cập các hợp đồng thông minh).

Các nhà phát triển ứng dụng DeFi đã đánh được cao tiềm năng to lớn của Flash Loan gần như ngay lập tức sau khi nghiên cứu tài liệu của Aave về tính năng này. 

Tuy nhiên, nhu cầu sử dụng thực sự tăng mạnh mấy tháng sau đó, với sự gia tăng đa dạng về số lượng người dùng dịch vụ DeFi và sự gia tăng sau đó về tiền phí giao dịch trên mạng Ethereum. 

Các hoạt động thông thường với giao thức DeFi quá đắt và việc sử dụng các chiến lược dựa trên Flash Loan đã làm giảm đáng kể chi phí giao dịch và tìm ra các cơ hội thu lợi nhuận mới.

Vào cuối năm 2020, nền tảng Aave đã xử lý các khoản vay nhanh tổng trị giá 2 tỷ USD và đến cuối nửa đầu năm 2021, số tiền này tăng lên 4,2 tỷ USD. Theo AaveWatch , khoản vay nhanh lớn nhất được xử lý là 195 triệu USD

Trong nửa đầu của năm 2020, chức năng Flash Loan đã xuất hiện trên nền tảng dYdX. Một dạng tương tự của Flash Loan có thể được coi là chức năng của trao đổi nhanh (Flash Swap), được cung cấp vào tháng 5 năm 2021 bởi sàn giao dịch tiền điện tử phi tập trung phổ biến Uniswap v2.

Người dùng có thể cho vay mà không cần thế chấp đối với hơn 100 token có thể được sử dụng cho các giao dịch chênh lệch giá (ví dụ: giữa Uniswap và SushiSwap) và các chiến lược khác. Chức năng này chỉ có thể được truy cập thông qua hợp đồng thông minh, vì không có giao diện người dùng. Chi phí vay là 0,3% (không bao gồm phí gas và phí Uniswap).

Flash Loans Attack là gì?

Các khoản vay nhanh là công nghệ tương đối mới, chính vì thế rất dễ bị tấn công bởi nhiều hacker, những người có hành vi xấu muốn đánh lừa hệ thống và lấy cắp tiền từ các giao thức DeFi. Bằng một số kỹ thuật nào đó, người đi vay có thể lừa người cho vay tin rằng khoản vay đã được hoàn trả đầy đủ, nhưng thực tế nó vẫn chưa được hoàn trả. 

Về mặt kỹ thuật, hacker sẽ đóng giả là một người đi vay và nhận một khoản vay nhanh từ một giao thức cho vay. Sau đó, người này sử dụng giao thức đó để thao túng thị trường và lừa những người cho vay. 

Trong một số trường hợp, những kẻ tấn công tạo ra cơ hội chênh lệch giá để khai thác các hợp đồng thông minh dễ bị hack. Bằng cách này, họ có thể mua token với giá rẻ hoặc bán chúng với giá cao hơn cho các hợp đồng bị khai thác.

Lý do Flash Loan Attack lại phổ biến trong DeFi?

Flash Loans Attack là một trong những hình thức tấn công phổ biến nhất trong thị trường tài chính phi tập trung. Bởi, hình thức tấn công này thường có chi phí thấp, phần thưởng cao và đặc biệt là rủi ro thấp. 

Flash Loans Attack có chi phí thấp

Các cuộc tấn công thông thường sẽ cần sử dụng đến rất nhiều nguồn lực khác nhau, bao gồm tài chính, nhân lực, thiết bị công nghệ cao… Tuy nhiên, với Flash Loan Attack, các hacker chỉ cần một máy tính có kết nối Internet, sự khôn khéo và một chút hiểu biết về cách thức vận hành các giao dịch trong nền tảng.

Flash Loans Attack có rủi ro thấp

Những cuộc tấn công cho vay nhanh thường không để lại dấu vết nên rất khó để truy vết kẻ tấn công, nhất là trong thị trường Crypto. Hơn nữa, bản chất của Flash Loans Attack là dựa trên cơ chế chênh lệch giá giữa các sàn giao dịch và các hacker đã thực hiện khôn khéo các giao dịch để thu lợi bất chính nên rủi ro của hình thức tấn công này rất thấp. 

Các cuộc Flash Loans Attack nổi bật nhất hiện nay

Cream Finance

Cream Finance là một giao thức cho vay phi tập trung được phát triển trên blockchain Ethereum. Vào ngày 27/10/2021, Cream Finance đã bị tấn công cho vay nhanh (Flash Loan Attack) với tổng giá trị thiệt hại lên đến 130 triệu USD. Được biết, các khoản tiền bị đánh cắp chủ yếu là token CREAM và các mã token theo tiêu chuẩn ERC20 khác. Nhờ có sự hỗ trợ của đội ngũ Yearn Finance mà nền tảng này đã nhanh chóng vá được lỗ hổng bảo mật.

Pancake Bunny

Pancake Bunny là giao thức tài chính phi tập trung phổ biến trên Binance Smart Chain. Vào tháng 05/2021, nền tảng này đã bị các hacker “ghé thăm” và đánh cắp tài sản với tổng thiệt hại lên đến 200 triệu USD. Đáng chú ý, phương thức mà những kẻ tấn công sử dụng là Flash Loan Attack.

Cụ thể, các hacker tấn công vào nhóm thanh khoản BUNNY/BNB và USDT/BNB bằng cách vay một lượng lớn BUNNY để đẩy giá của token này từ 150 USD lên 240 USD. Chỉ sau đó 30 phút, kẻ tấn công đã “xả” để giá BUNNY giảm mạnh. Tiếp đó, hacker rút sạch 697.000 BUNNY và 114.000 BNB với giá trị ước tính tại thời điểm đó là 200 triệu USD.

bZx

Tháng 02/2020, giao thức Lending phi tập trung bZx đã bị hacker tấn công và đánh cắp 2.388 ETH (tương đương 645 nghìn USD tại thời điểm đó). 

Cụ thể, hacker đã thực hiện một khoản vay nhanh 7.500 ETH. Đầu tiên, kẻ tấn công mua 3.518 ETH bằng sUSD với giá gần 1 USD sau đó gửi vào bZx làm tài sản thế chấp. Tiếp theo, hacker dùng 900 ETH để mua sUSD trên Kyber và Uniswap rồi thao túng giá sUSD lên hơn 2 USD. Với tài sản thế chấp này, hacker tiếp tục vay thêm 6.796 ETH trên bZx và sử dụng số dư ETH còn lại để trả khoản vay nhanh ban đầu. Như vậy, sau một chuỗi các thao tác, kẻ tấn công đã “bỏ túi” 2.388 ETH.

Làm sao để ngăn chặn Flash Loans Attack

Cho đến thời điểm hiện tại chưa có một biện pháp thật sự hiệu quả để ngăn chặn hoàn toàn các cuộc tấn công cho vay nhanh. Tuy nhiên, một số giải pháp đang cho thấy những giá trị cụ thể để ngăn chặn Flash Loans Attack. 

Sử dụng các Oracle

Mấu chốt quan trọng của các cuộc tấn công cho vay nhanh là cơ chế thao túng giá tài sản. Vì vậy, các giao thức DeFi có thể cân nhắc việc sử dụng các giải pháp định giá phi tập trung (như Chainlink hay Band Protocol) thay vì dựa vào một sàn DEX đơn lẻ cho nguồn cung cấp dữ liệu giá. Các nền tảng Oracle giữ cho tất cả các giao thức được an toàn bằng cách đưa ra mức giá chính xác của các loại tiền mã hóa khác nhau. 

Triển khai nền tảng bảo mật DeFi

Bảo mật là một trong những vấn đề quan trọng cần được quan tâm, nhất là đối với các dự án DeFi. Hiện nay, OpenZeppelin đã khởi chạy một chương trình có tên OpenZeppelin Defender cho phép các nhà phát triển dự án phát hiện các hoạt động khai thác hợp đồng thông minh bất thường trên nền tảng. Từ đó, các nhà phát triển có thể nhanh chóng vô hiệu hóa cuộc tấn công của các hacker và thu hẹp thiệt hại của vụ tấn công.

Ngoài ra, với OpenZeppelin Defender, các nhà phát triển có thể sử dụng để tự động hóa các chiến lược phòng thủ hay nhanh chóng tạm dừng toàn bộ hệ thống và triển khai các bản sửa lỗi khi cần thiết.

Các giao dịch phải được thực hiện qua hai block

Cuối cùng, một giải pháp được đề xuất để ngăn chặn Flash Loan Attack đó là buộc các giao dịch vay nhanh phải đi qua hai block thay vì một block như thông thường. Tuy nhiên, đây không phải là một giải pháp hoàn hảo vì nếu không được thiết kế chính xác, các hacker có thể tấn công đồng thời cả hai block và gây tổn hại nặng nề hơn. Hơn nữa, giải pháp này có thể ảnh hưởng đáng kể đến giao diện người dùng của các giao thức DeFi vì các giao dịch sẽ không còn đồng bộ nữa. 

Kết luận

Bài viết của DeFiX tới đây là kết thúc. Hi vọng những thông tin này hữu ích với các nhà đầu tư!

Hãy theo dõi DeFiX.Network để cập nhật thêm nhiều thông tin thú vị, mới nhất về thị trường trường tài chính và tiền điện tử nhé.

Hẹn gặp lại các bạn trong các bài chia sẻ, hướng dẫn tiếp theo. Chúc các bạn đầu tư thành công!