Trong bối cảnh thị trường tiền điện tử đang trải qua giai đoạn suy giảm, các hình thức lừa đảo, tấn công và “rug pull” (lừa đảo bằng cách kéo thảm) ngày càng trở nên phổ biến. Điều này khiến cho việc trang bị kiến thức để bảo vệ tài sản trở nên hết sức quan trọng, đặc biệt trong những thời điểm khó khăn như hiện nay. Trong bài viết này, Unilever.edu.vn sẽ giới thiệu đến các bạn 10 hình thức tấn công DeFi phổ biến nhất hiện nay và những biện pháp phòng ngừa hiệu quả để bảo vệ các khoản đầu tư của mình.
1. Tấn công Oracle
Oracle là một hệ thống cung cấp thông tin giá cả cho các loại tài sản. Các dự án DeFi thường phụ thuộc rất nhiều vào oracle này để cập nhật giá. Nếu giá của token A trên thị trường là 10 đô la nhưng trong một giao thức DeFi lại hiển thị 100 đô la, người dùng sẽ thấy cơ hội và tìm cách mua token A trên thị trường với giá thấp hơn, sau đó bán trên giao thức DeFi để thu lợi. Điều này không chỉ gây thiệt hại cho giao thức mà còn cho những người đã cung cấp tài sản vào đó.
Giải pháp: Để tránh gặp những tình huống bất lợi như vậy, người dùng nên lựa chọn các giao thức DeFi tích hợp oracle uy tín. Việc này giúp giảm thiểu rủi ro từ các cuộc tấn công oracle.
2. Tấn công flash loan
Flash loan là các khoản vay không cần tài sản thế chấp với một điều kiện: khoản vay phải được hoàn trả cho nền tảng cho vay trong cùng một giao dịch. Các cuộc tấn công flash loan thường được lập trình và thực hiện bởi bot, cho phép kẻ tấn công có thể trục lợi trong khi ngủ. Các giao thức DeFi có sự chênh lệch giá (thường do lỗi oracle) là những mục tiêu phổ biến.
Ví dụ, nếu một người dùng nhận thấy sự chênh lệch giá giữa token A là 10 đô la và 100 đô la, nhưng họ chỉ có token B thay vì tiền mặt, họ sẽ sử dụng token B làm tài sản thế chấp để vay token A, sau đó bán lại trên giao thức DeFi có lỗi oracle và hoàn trả khoản vay.
Giải pháp: Phần lớn các cuộc tấn công flash loan xảy ra do lỗi oracle hoặc tỷ lệ tài sản không cân bằng trong các hồ thanh khoản. Do đó, nên sử dụng các giao thức có oracle uy tín và khối lượng giao dịch cao để giảm rủi ro.
flash loan attack
3. Tấn công 51%
Khi một kẻ tấn công sở hữu một lượng lớn token governance, họ có thể lợi dụng cơ chế quản trị của giao thức để kiếm lợi cho bản thân. Với tấn công 51%, kẻ tấn công có thể kết hợp với flash loans để thực hiện tấn công mà không cần phải sở hữu các token của dự án.
Chẳng hạn, một giao thức DeFi yêu cầu hơn 50% của token A để thông qua một đề xuất. Kẻ tấn công có thể vay token A từ flash loan, sau đó giao điểm và thông qua một đề xuất để chuyển 100 triệu USDC vào ví của mình với phí nợ rất nhỏ.
Giải pháp: Để tránh các dự án có rủi ro từ tấn công 51%, người dùng nên lựa chọn các giao thức DeFi có cơ chế quản trị chặt chẽ hoặc yêu cầu sự đồng thuận cao để thông qua các đề xuất.
4. Tấn công front-running
Tấn công front-running xảy ra khi kẻ tấn công biết một giao dịch trong tương lai sẽ ảnh hưởng đến giá và đặt hàng ngay trước giao dịch đó để thu lợi. Cấu trúc của Ethereum và các blockchain tương tự đã tạo ra cơ hội cho bot kiếm lợi bằng việc front-run các giao dịch khác.
Giải pháp: Để ngăn ngừa front-running, các nhà đầu tư có thể chia nhỏ giao dịch thành nhiều phần và thiết lập tỷ lệ trượt giá thấp.
front running example
5. Tấn công admin key
Một số giao thức có “admin key”, cho phép một địa chỉ đặc biệt kiểm soát toàn bộ quỹ của giao thức. Nếu admin key bị tấn công, quỹ có thể bị đánh cắp. Một ví dụ điển hình là vụ tấn công EasyFi, nơi admin key của CEO bị tấn công và 6 triệu đô la bị đánh cắp từ hồ thanh khoản.
Giải pháp: Các nhà đầu tư cần chọn lọc cẩn thận các giao thức, không nên đặt tất cả quỹ vào các dự án ít thông tin về đội ngũ hoặc nhà đầu tư. Đồng thời, cần cân nhắc kỹ lưỡng trước khi tham gia các giao thức có admin key.
6. Tấn công front-end
Front-end là giao diện hiển thị của ứng dụng, khi được tương tác sẽ ảnh hưởng đến các yếu tố dưới lớp (back-end). Phần này của giao diện có thể bị tấn công và gây thiệt hại cho người dùng. Một ví dụ nổi bật là vụ Badger DAO, nơi 120 triệu đô la đã bị thiệt hại do kẻ tấn công nhắm vào API key của Badger DAO.
Giải pháp: Luôn chú ý đến việc phê duyệt khi thực hiện giao dịch trên ví. Nếu người dùng đã tương tác và phê duyệt cho một dự án mới, họ có thể sử dụng các công cụ hủy phê duyệt như Coin98 Super App để quản lý.
7. Tấn công truyền thông xã hội
Việc có các tài khoản trên các nền tảng truyền thông xã hội như Discord, Twitter hay Telegram là điều phổ biến đối với người dùng crypto. Cùng với nhu cầu tăng cao về thông tin và cơ hội, xuất hiện rất nhiều kẻ lừa đảo và hacker. Họ hầu như luôn giả dạng là thành viên trong nhóm dự án để lure người dùng vào các liên kết hoặc trang web lừa đảo.
Giải pháp: Người dùng cần tỉnh táo với những đề nghị cực kỳ hấp dẫn, vì chúng thường là lừa đảo. Mặc dù các cuộc tấn công truyền thông xã hội dễ nhận biết hơn, tần suất chúng ngày càng tăng và ngày càng tinh vi hơn.
8. Tấn công kiểm soát xã hội
Đây là hình thức tinh vi hơn của tấn công truyền thông xã hội, nơi kẻ tấn công hack và kiểm soát tài khoản truyền thông xã hội của nhóm dự án để phát tán thông tin sai lệch và đánh cắp tài sản của người dùng. Ví dụ, tài khoản Instagram của một trong những bộ sưu tập NFT phổ biến nhất – Bored Ape, đã bị hack, dẫn đến việc kẻ tấn công thông báo airdrop cho những người nắm giữ Bored Ape.
Giải pháp: Luôn cẩn trọng khi thấy các airdrop miễn phí, ngay cả trên các tài khoản truyền thông xã hội của các dự án đáng tin cậy. Tốt nhất là xác minh với đội ngũ dự án trước khi tham gia bất kỳ sự kiện nào.
9. Tấn công Layer 1
“An ninh của hợp đồng thông minh chỉ tương đương với an ninh của blockchain mà chúng chạy trên đó”. Nếu blockchain bị hack, tất cả các dự án xây dựng trên đó cũng sẽ bị ảnh hưởng và gây thiệt hại cho người dùng. Ví dụ, Ethereum Classic đã từng chịu một cuộc tấn công 51% và mất lòng tin từ cộng đồng.
Giải pháp: Tham gia các mạng layer 1 uy tín đã được kiểm chứng trong thời gian dài.
10. Tấn công từ các bên khác
Nhiều người đã biết đến việc UST mất chốt, dẫn đến sự sụp đổ của đế chế Terra. Nguyên nhân của cuộc tấn công có thể là do đã được lên kế hoạch trước, với một lượng lớn UST bị rút ra trong Anchor trong thời gian ngắn, dẫn đến tình trạng panic sell. Điều này cho thấy rủi ro của một thị trường với vốn đầu tư còn non trẻ như crypto, khi ngay cả những dự án hàng đầu cũng có thể “biến mất” trong chớp mắt.
Giải pháp: Đừng đặt tất cả trứng vào một giỏ, ngay cả khi dự án đang trên đỉnh cao của thị trường. Kiếm tiền trong crypto không dễ và các nhà đầu tư không nên đặt quá nhiều niềm tin vào một dự án đơn lẻ.
Kết luận
Trước khi tìm cách kiếm tiền, hãy học cách bảo vệ nó. Mặc dù DeFi đã bùng nổ mạnh mẽ trong năm 2021, nó vẫn còn mới mẻ và chứa đầy rủi ro. Khi thị trường suy giảm, các nhà đầu tư nên đặt ưu tiên vào việc bảo vệ tài sản thay vì tập trung vào những cơ hội kiếm lợi nhuận có rủi ro cao. Với kiến thức về các hình thức tấn công DeFi phổ biến hiện nay, hy vọng người đọc sẽ trang bị cho mình những biện pháp phòng ngừa hiệu quả để cùng nhau bảo vệ tài sản trong thế giới đầy biến động này.
