Bảo mật ngày càng tốt hơn nhưng mô hình kinh tế DeFi vẫn chứa nhiều lỗ hổng
Mảng DeFi trong vòng từ tháng 1/2021 đến 1/2024 đã có nhiều thay đổi về mặt công nghệ, các dự án đã dần phát triển khả năng bảo mật tốt hơn, tỷ lệ dự án thuê audit cũng đã tăng lên. Kéo theo đó là lượng tiền bị mất do các dự án bị hack cũng đã giảm đi rất nhiều trong các năm.
Tại đỉnh năm 2021, tổng vốn hóa toàn thị trường crypto đạt mức 2,930 tỷ USD với khoảng hơn 3.96 tỷ USD bị mất do thiệt hại từ các vụ hack và khai thác lỗ hổng của các dự án DeFi. Sang năm 2023, con số này chỉ còn 1.02 tỷ USD.
Vào 2024, tổng thiệt hại của các dự án DeFi trong Q1-Q2 chỉ đang ở mức 500 triệu USD.
Trong những năm từ 2021 - 2024, các dự án DeFi chủ yếu bị hack nhiều nhất là do có các lỗ hổng trong hợp đồng thông minh được viết bằng Solidity.
Các hợp đồng thông minh tương tác với nhau thiếu liền mạch hoặc có các lỗ hổng bảo mật mà các hacker đã nhanh tay khai thác trước khi dự án phát hiện.
Tổng giá trị thiệt hại từ các cuộc tấn công DeFi đã có xu hướng giảm qua các quý, đặc biệt là từ năm 2022 trở đi. Điều này có thể là do các biện pháp bảo mật đã được cải thiện và các nhà phát triển đã chú trọng hơn đến việc kiểm tra và xác minh hợp đồng thông minh.
Mặc dù các dự án DeFi đã ít bị hack đi rất nhiều do khả năng bảo mật tăng lên trong nửa đầu năm 2024, tỷ lệ thống trị DeFi vẫn giảm mạnh do nhiều yếu tố khác như thiếu tiềm năng về mặt lợi nhuận và xung đột lợi ích của các bên tham gia đầu tư dự án.
Tổng giá trị thiệt hại giảm, nhưng tỷ lệ các cuộc tấn công liên quan đến mô hình kinh tế và cách hoạt động của DeFi như thao túng giá và Flash loan attack đang tăng lên. Điều này cho thấy rằng khi các lỗ hổng kỹ thuật bị thu hẹp, các kẻ tấn công đang chuyển sang khai thác các yếu tố kinh tế, nơi mà việc ngăn chặn và phát hiện có thể khó khăn hơn.
Chủ yếu, các vụ hack liên quan tới mô hình kinh tế đến từ các dự án Lending, DEX, Yield Earning và Bridge. Nếu không tính sự sụp đổ của LUNA thì hiện tại Bridge đang là mảng DeFi có lượng tiền bị hack và bị khai thác nhiều nhất thời điểm hiện tại với hơn 2.7 tỷ USD bị đánh cắp trong 4 năm từ 2021-2024.
Các giao thức DeFi vốn dễ bị tấn công bởi hai loại hình chính: khai thác kinh tế và khai thác kỹ thuật.
Khai thác kinh tế liên quan đến việc thao túng các tham số quan trọng của giao thức và kiếm lời từ nó. Sự thao túng này tạo ra sự mất cân bằng trong giao thức, dẫn đến thiệt hại tài chính cho người dùng trong khi kẻ tấn công lại thu được lợi nhuận từ việc khai thác lỗ hổng trong cơ chế kinh tế của dự án.
Khai thác kỹ thuật được thực hiện thông qua việc thao túng các chức năng lập trình của giao thức, thường dẫn đến việc rút tiền trái phép. Những cuộc tấn công này có thể khai thác lỗ hổng trong hợp đồng thông minh hoặc các yếu tố khác của cơ sở hạ tầng kỹ thuật, dẫn đến tổn thất đáng kể.
Ví dụ về hình thức khai thác kinh tế như:
- Flash loan attack - khai thác kinh tế: Đây là một loại tấn công mà kẻ tấn công vay một khoản vay nhanh (flash loan) với số tiền lớn mà không cần tài sản thế chấp. Sau đó, họ thao túng giá của tài sản trên một sàn giao dịch phi tập trung (DEX) hoặc trong một giao thức DeFi khác để có lợi cho họ.
- Khai thác lỗi hợp đồng thông minh - khai thác kỹ thuật: Vụ hack Ronin Bridge vào tháng 3/2022 là một ví dụ tiêu biểu về khai thác kỹ thuật trong DeFi. Ronin Bridge, đã bị tấn công khi kẻ xấu chiếm đoạt 5 trong số 9 khóa xác thực cần thiết để phê duyệt giao dịch. Với quyền kiểm soát này, họ đã rút trái phép 625 triệu USD, bao gồm 173,600 ETH và 25.5 triệu USDC.
Công nghệ phát triển dự án DeFi đang dần hoàn thiện với bảo mật tăng cao nhưng mô hình kinh tế của các dự án này vẫn chưa có sự đổi mới, còn rất nhiều lỗ hổng có thể khai thác được. Liệu sẽ có thay đổi gì trong thời gian sắp tới?
Đọc thêm: Tỷ lệ thống trị DeFi đạt mức thấp nhất trong 3 năm, nhà đầu tư quay lưng?