Tin nóng ⇢

Nhìn nhận gì từ đặc điểm các vụ Exploit trong thời gian vừa qua?

Trong khoảng thời gian đầu tháng 5 trở lại, số lượng các vụ Exploit gia tăng nhiều hơn đáng kể. Đã bao giờ anh em thử tổng hợp lại và xem chúng có đặc điểm gì chưa? Nếu chưa thì bài viết này có lẽ sẽ giúp ích cho anh em. Bắt đầu vào bài thôi.

Exploit là gì?

Exploit là khái niệm để chỉ các vụ tấn công vào một hệ thống máy tính. Tức là những kẻ xâm nhập sẽ lợi dụng một lỗi hoặc lỗ hổng hệ thống cụ thể mà họ phát hiện ra được để xâm nhập vào hệ thống đó.

Tổng hợp các sự kiện Exploit

Đầu tiên, mình sẽ tổng hợp tất cả các sự kiện Exploit từ đầu tháng 5 cho đến hiện tại.

Tiêu chí của bảng này là tổng hợp các sự kiện Exploit theo ngày, tên dự án, số tiền mất, cách thức Exploit (bị hack hay do lỗi hệ thống, mô hình hoạt động), có liên quan đến Flash Loans không, và cuối cùng là dự án thuộc blockchain nào bị hack.

Từ bảng trên, chúng ta có 16 vụ exploit và có thể nhận ra một số keywords sau:

  • Đa phần là bị hack (13/16).
  • Đa phần đều liên quan đến Flash Loans (9/16).
  • Đa phần nằm ở Binance Smart Chain (BSC) (11/16).

Từ đó rút ra điều gì?

Để trả lời câu hỏi trên, anh em hãy cùng nhìn qua một vài số liệu của Ethereum, BSC và Polygon từ khoảng tháng 4 đến hiện nay xem có gì thú vị nhé.

Phân tích số liệu

Total Value Locked (TVL)

Hình dưới mô tả sự thay đổi TVL theo ngày của 3 hệ sinh thái.

Có thể thấy rằng, từ đầu tháng 1 đến giữa tháng 5 là thời kì hoàng kim của BSC, khi TVL của chạm mức cao nhất với gần $30B. Điều này có thể giải thích là do gas fee của Ethereum quá cao trước đó, buộc người dùng phải tìm một biện pháp thay thế, đó chính là Binance Smart Chain.

Dù rằng gas fee khoảng đầu tháng 5 có lẽ đã hạ nhiệt, nhưng do đã có động lượng từ trước, nên TVL BSC vẫn tiếp tục phát triển đến giữa tháng 5 thì bắt đầu có dấu hiệu suy thoái.

Daily Revenue

Lợi nhuận mỗi ngày cũng đi theo mô hình tương tự TVL, điều này làm củng cố thêm việc có nhiều người dùng sử dụng BSC hơn.

Active Daily Address

Một lần nữa, số liệu ví hoạt động đã chứng minh được số lượng người dùng thật sự phát triển trên BSC, không những đầu tháng 4 đến đầu tháng 5, mà thậm chí là đến hiện tại.

Trở lại câu hỏi chính, vậy có thể rút ra được gì từ các số liệu trên?

Vì sao BSC lại có nhiều sự kiện Exploit?

Như đã nói, BSC nổi lên như giải pháp gần như duy nhất cho việc tăng cao của gas fee đến từ Ethereum từ khoảng tháng 2/2021, thể hiện qua giá BNB bắt đầu tăng trưởng mạnh mẽ như hình dưới. Khả năng cao việc gas fee tăng mạnh là do sự cạnh tranh của các bot trong việc đưa transaction vào block, gọi là MEV (Miner Extractable Value).

Dựa vào mục phân tích số liệu, chỉ vỏn vẹn 90 ngày, TVL của BSC tăng lên đến khoảng $23B, cùng với số lượng ví hoạt động tăng lên gần 4 lần trong thời gian này, cho thấy BSC thật sự rất hype. Cộng với các trào lưu Meme coin (Doge, Safemoon,…) trước đó, đã dẫn đến một sự việc: Ngày càng nhiều dự án mọc lên trên BSC, nhưng đa phần các dự án đều theo hướng meme, hay fork ra từ các dự án lớn để chạy cho kịp trend.

Kết quả của sự “ăn liền” đó đã được thể hiện qua hàng loạt các vụ Exploit mình kể trên, khi có đến hơn 60% sự việc là nằm ở BSC. Lý do là các dự án này code nhanh ra để chạy theo trend, mà không hiểu rõ bản chất dự án cần làm gì để đề phòng hack.

Trở lại với Daily Revenue, dù cho có sự tăng trưởng, nhưng do phí quá rẻ, nên số tiền lợi nhuận của dự án trên BSC nhận lại không quá nhiều. Dấu hiệu rõ ràng nhất là đỉnh điểm của BSC cũng chưa thể chạm đến con số thấp nhất của Ethereum ($3.23M).

Cá nhân mình nghĩ, không loại trừ khả năng là những dự án tự tạo ra các vụ Exploited này để mang lại lợi nhuận cho chính team dev. “Người dùng có thể farm bằng tài sản, dev có thể farm bằng dự án” (lưu ý: đây chỉ là suy nghĩ cá nhân).

Do đó, niềm tin người dùng bắt đầu giảm dần, dẫn đến TVL của BSC cũng giảm sút đáng kể. Dĩ nhiên một phần cũng do Polygon đang bắt đầu lớn mạnh, hút một phần TVL của cả Ethereum và BSC.

Và nếu các team cứ dev theo kiểu ăn ngay thế này, việc BSC bị hack trong tương lai là điều khó tránh khỏi.

Nạn nhân kế tiếp sẽ là Polygon?

Dựa vào chart, dễ dàng nhận ra Polygon (MATIC) cũng có sự tăng trưởng rất mạnh trong khoảng tháng 2 -5, giống như BNB. Lý do cho việc này bởi vì cấu trúc của BSC và Polygon cũng tương tự Ethereum, rất dễ dàng xây dựng dự án trên này, nhưng phí thì rẻ hơn rất nhiều, nên Polygon cũng trở thành một sự thay thế cho Ethereum giống như BSC.

Nếu anh em để ý, thì Polygon có vẻ giống như một Binance Smart Chain thứ 2, khi các chỉ số đều ủng hộ cho việc Polygon đang ở trạng thái phát triển mạnh mẽ.

Nên khi “ngửi thấy mùi dễ kiếm ăn” trên 1 nền tảng mới (Polygon), sẽ có nhiều kẻ đầu cơ phát triển thật nhanh các dự án để kiếm lợi nhuận bằng cách rug pool, exploited, …

Và như một điều không thể tránh khỏi, sự cố đã bắt đầu dần xuất hiện trên Polygon với 2 sự kiện không may đã xảy ra trong tháng 6: Iron Finance và SafeDollar. Tuy cả hai đều không phải do hack, nhưng đều vướng phải sự cố trong việc thiết kế mô hình không kỹ lưỡng. Trong tương lai, mình dự đoán là tần suất bị hack cũng Polygon sẽ bắt đầu tăng dần nếu không có gì cải thiện.

Vì sao đa phần các vụ hack đều liên quan đến Flash Loans?

Theo thống kê trên, có đến 56.25% các vụ Exploit là kẻ xấu sử dụng Flash Loans làm công cụ hack. Có rất nhiều anh em sẽ thắc mắc liệu có phải lỗi nằm ở Flash Loans hay không? Thì câu trả lời theo mình là không.

Dành cho anh em chưa biết, thì Flash Loans có thể nói là một sáng kiến tuyệt vời của Crypto, giúp cho người dùng có thể kiếm được lợi nhuận một cách nhanh chóng.

Ngoài việc kiếm được lợi nhuận, việc người dùng giao dịch chênh lệch giá (Arbitrage) còn giúp các sàn có thể cân bằng lại giá token, làm cho thị trường trở nên ổn định về giá. 

Trong bài viết trước đây về lợi ích và góc nhìn thú vị về Flash Loans mà mình đã thực hiện, Flash Loans có một lợi ích sâu xa mà rất ít người nghĩ đến đó là lọc bớt những dự án yếu kém.

Việc Flash Loans được sử dụng để hack các dự án đã có từ rất lâu. Sau khi hack, không phải dự án nào cũng chết, mà có những dự án phát triển rất mạnh, có thể kể đến là vụ hack của Origin (OUSD).

Vì những lý do đề cập phía trên, có thể nói Flash Loans không có tội.

Tuy nhiên, Flash Loans giống như một con dao hai lưỡi, tùy thuộc vào người dùng làm gì mà nó sẽ cho ra kết quả theo hướng đó: 

  • Người dùng muốn thu được lợi nhuận, sẽ thực hiện Flash Loans theo cách thu được lợi nhuận;
  • Còn nếu muốn hack, thì chỉ việc tìm ra lỗ hổng, sau đó chỉ cần dùng Flash Loans như công cụ vay mượn.

Vậy có cách nào để hạn chế được việc này không? Theo mình là vẫn có.

Một số cách hạn chế Exploit và thiệt hại

Code kỹ hơn

Các dự án đa phần bị hack là do fork từ các dự án lớn, mà có thể không hiểu kỹ bản chất của dự án, hay đặc tính của sector. Các dev có thể fork Uniswap để tạo ra một dự án AMM mới, nhưng thực chất không hiểu gì về bản chất của AMM, và cả những yếu tố tác động đến AMM gây lợi hại như thế nào.

Nên việc cần làm là phải ngoài việc biết code, các dự án cần phải bổ sung thêm những kiến thức liên quan đến sector của mình. Bên cạnh đó, một số dự án nếu không bị hack, thì do cơ chế không logic, dẫn đến bị lỗi, nên cần phải rút kinh nghiệm các dự án đi trước.

Mua bảo hiểm

Có thể dự án đã code rất tốt, nhưng không phải vì thế mà không gặp trục trặc. Nên việc mua bảo hiểm có thể xem như một phương án hỗ trợ phần tiền đền bù. Một số cái tên có thể kể ra như Nexus Mutual, InsurACE,…

Tuy nhiên, cách này chỉ áp dụng được cho một số dự án được hỗ trợ bảo hiểm, và đa phần các dự án này đều là dự án đã có tiếng tăm nhất định.

Thiết kế tokenomic

Ở các dự án mới không được hỗ trợ bảo hiểm, họ có thể thiết kế tokenomic để chia doanh thu từ dự án ra nhiều khoản, một phần trong đó sẽ được dùng để đề bù cho người dùng bị thiệt hại nếu có rủi ro xảy ra.

Nếu may mắn không có sự cố trong một thời gian dài, khoản tiền này có thể đem đi farm ở các Yield Aggregator như Yearn để tạo ra thêm doanh thu.

Tổng kết

Các blockchain phát triển ngoài việc cho người dùng cơ hội đầu tư, còn đó những mối nguy hại khác, đó là không những có thêm nhiều dự án scam ra đời, mà còn người dùng còn đối mặt với việc bị hack, dẫn đến thiệt hại về tài sản.

Nói về Flash Loans, đây có lẽ vẫn sẽ là tính năng được giữ lại và phát triển vì những lợi ích mà nó mang lại. Do đó, điều cần thiết để phòng tránh việc bị hack do Flash Loans là team dev phải đầu tư thời gian và kiến thức để tạo ra dự án chất lượng.

Anh em có suy nghĩ gì về những sự cố Exploit gần đây? Liệu trong tương lai sẽ có thêm những cách hack nào? Có thể comment ý kiến anh em bên dưới.

Theo C98

Có thể bạn quan tâm

Mục lục