Ngày 10/08, Poly Network với tổng thiệt hại lên tới 611 triệu đô, trở thành vụ hack DeFi lớn nhất từ trước đến nay (mặc dù kẻ tấn công đang hoàn trả dần lại số tài sản đó cho Poly Network) và mới nhất là dự án Dao Maker bị tấn công vào ngày 12/08 với thiệt hại 7 triệu đô.
Đằng sau không gian Crypto với nhiều ánh hào quang và cơ hội đổi đời là một vùng đất tăm tối, nơi chỉ cần một sai lầm có thể khiến những kẻ đặt chân mất hết tất cả. Hôm nay ta sẽ cùng khám phá vùng đất này, làm thế nào để nhận biết những con quái vật chỉ chực chờ tấn công, đâu là kẻ sát nhân đội lốt hiệp sĩ và cần chuẩn bị những gì nếu muốn đặt chân vào vùng đất này.
Exploited là gì?
Exploited là thuật ngữ ám chỉ cho việc kẻ xấu lợi dụng những lỗ hổng, lỗi trong smart contract để thực hiện các vụ tấn công vào platform nhằm chiếm đoạt tài sản người dùng.
Rug Pull là gì?
Rug Pull dùng để nói về việc nhà phát triển bỏ rơi dự án của mình và “cao chạy xa bay” với số vốn của nhà đầu tư.
Dù có khác nhau về bản chất nhưng cuối cùng, bên chịu thiệt hại lớn nhất vẫn thuộc về phía người dùng.
“Một điều khá buồn cười là hầu hết mọi người chỉ quan tâm đến lợi nhuận mà họ CÓ THỂ đạt được, chứ không quan tâm đến RỦI RO mà họ có thể gặp phải”.
Kẻ săn mồi hay kẻ bị săn?
“Trong một lúc, token X pump rất mạnh, phút tiếp theo mọi thứ sụp đổ. Nhóm telegram với những thành viên tích cực, sôi nổi và luôn mở miệng x10, x100 bỗng nhiên tĩnh lặng. Admin khóa chat và cuối cùng xóa kênh, trang Twitter với hàng chục nghìn người theo dõi cũng biến mất theo.”
“Bãi farm A có APY hàng trăm nghìn %, cho vào một chút thì chẳng mấy chốc lấy lại được vốn”. Hàng nghìn người có suy nghĩ như vậy khiến TVL dự án tăng chóng mặt và “bùm”, một lỗi hệ thống xảy ra, thanh khoản bị rút cạn, giá token giảm 99%. “Lỗi này có thể do một kẻ tấn công nào đó hoặc có thể tới từ lòng tham của những người trong team, nhưng với những người bỏ tiền vào dự án điều này có quan trọng không?”
Và còn rất rất nhiều câu chuyện tương tự trong vùng đất tối tăm này.
Những con quái vật chỉ chực chờ tấn công
Đầu tiên phải nhấn mạnh một điều rằng, số lượng quái vật trong vùng đất này nhiều hơn rất nhiều so với thứ mà bạn đang nghĩ. Chúng có muôn hình vạn trạng và mỗi một trong số chúng lại có nanh vuốt khác nhau:
- Poly Network bị tấn công do có lỗi liên quan đến bridge.
- Một platform đã có thời gian dài hoạt động không vấn đề như Cream Finance, cuối cùng do hợp tác với Alpha Finance và có lỗ hổng trong hệ thống mà bị kẻ xấu tấn công.
- ThorChain dù đã được tên hacker cảnh báo là có lỗi nghiêm trọng trong hệ thống nhưng vẫn bỏ mặc làm ngơ và hậu quả là bị tấn công hai lần liên tiếp.
- Và hàng trăm trường hợp dự án ra mắt và thu hút tài sản, cuối cùng rút hết thanh khoản và ra đi với số vốn của nhà đầu tư.
Tỷ lệ rủi ro lớn hơn rất nhiều so với tiềm năng lợi nhuận và việc hiểu rõ điều này là cần thiết trước khi tiếp tục bước những bước tiếp theo.
Kẻ sát nhân đội lốt hiệp sĩ
Audit là việc các dự án đưa sản phẩm của mình (code) cho các công ty chuyên về bảo mật kiểm tra. Các công ty audit được coi là những hiệp sĩ sát cánh cùng dự án và như một tấm khiên chắn để bảo vệ những ai bước chân vào vùng đất Crypto đầy nguy hiểm. Đã từ rất lâu, một trong những việc đầu tiên khi tìm hiểu một dự án là nhìn xem dự án đó đã được audit hay chưa.
Dự án đã được audit sẽ cho người dùng thêm sự tự tin và tăng tính đảm bảo cho sản phẩm gấp nhiều lần so với một dự án ẩn danh và không được audit.
“Vậy dự án chỉ cần được audit là an toàn và tôi có thể đưa tài sản của mình vào mà không phải lo lắng?”
“Thật vậy không?”
Dưới đây là bảng tổng hợp giá trị thiệt hại của các dự án được audit bởi các công ty audit trong ngành:
Giá trị thiệt hai từ các dự án được audit bởi các công ty audit
Hiển nhiên vẫn có “những con quái vật đội lột hiệp sĩ” mà chỉ cần bạn là người mới và không đủ trải nghiệm thì sẽ bị đánh lừa bởi những bộ giáp sáng loáng mang tên “audited by…”.
Vấn đề của các công ty audit ở thời điểm hiện tại:
- Không phải chịu bất kỳ một hình thức trách nhiệm nào nếu dự án bị tấn công (trừ việc bị tổn hại danh tiếng).
- Chi phí audit đắt đỏ: Trailofbits.com $16,000, Cryptomaniacs $5,000, Sigmaprime.io $27,500 cho 359 dòng code Solidity – Trích từ tâm sự của Andre Cronje, Founder của Yearn Finance về việc phát triển dapp từ những ngày đầu của mình.
Các công ty audit ở thời điểm hiện tại đang ở một vị thế mà chỉ có lợi cho bản thân. Từ chuẩn mực của sự tin tưởng, ở thời điểm hiện tại, cộng đồng Crypto đã tự chia sẻ từ kinh nghiệm và mất mát của bản thân rằng “việc audit cũng chỉ được thực hiện bởi con người và vẫn không thể đảm bảo được an toàn cho người dùng”.
Tuy nhiên không thể phủ nhận rằng, audit dù ít hay nhiều, cũng góp phần tăng tính bảo mật cho sản phẩm và việc sẵn sàng chi tiền cho nhiều bên audit cũng thể hiện tính nghiêm túc từ phía nhà phát triển, đây cũng là một yếu tố tốt để đánh giá dự án.
Cần chuẩn bị gì nếu muốn đặt chân vào vùng đất Crypto
Tuy vùng đất này có nhiều nguy hiểm nhưng chỉ cần chuẩn bị đầy đủ, ta có thể tăng đáng kể tính an toàn cho bản thân. Do đó với vị thế người dùng, một vài việc ta có thể làm bao gồm:
- Không bao giờ all in: Cho dù một kèo nào đó có lợi nhuận hấp dẫn hay đảm bảo đến mức nào, ta luôn chỉ nên tham gia với số vốn mà mình có thể mất.
- Bảo mật tốt thông tin: Luôn giữ an toàn và không để lộ seed phrase, chia làm nhiều ví cho các mục đích khác nhau (ví để giữ tài sản, ví để chuyển test sản phẩm, ví để săn airdrop,…).
- Tránh những thứ “lạ”: Không bao giờ click vào đường link lạ, hoặc động vào một token free mà không hiểu sao lại xuất hiện trong ví.
- Luôn học hỏi: Có rất nhiều hình thức lừa đảo khác nhau và yêu cầu chúng ta luôn học hòi và tiếp thu thêm kinh nghiệm để tăng tính an toàn cho tài sản của bản thân.
Closing Thought
Crypto nói riêng và DeFi nói chung mở ra rất nhiều cơ hội cho những ai tham gia, nhưng đồng thời đây là một lĩnh vực còn rất mới và tiềm ẩn nhiều rủi ro. Việc hiểu rõ những nguy cơ mà bản thân có thể gặp sẽ giúp chúng ta rất nhiều trong việc không mất tiền, từ đó mới có thể kiếm được tiền từ thị trường này.
Vẫn còn tồn tại nhiều vấn đề liên quan đến việc audit cũng như các biện pháp nhằm bảo đảm an toàn trong không gian Crypto, và đây chắc chắn sẽ là một nhánh được chú trọng trong tương lai.
Theo C98