Gần đây hơn 8 vụ tấn công của tin tặc hack Binance Smart Chain (BCS) trong mạng lưới Dapp dưới hình thức cho vay nhanh (Flash Loan). Số tiền dự đoán có thể lên đến hàng tỉ USD. Một thông báo trên twitter của Binance Smart Chain cho rằng “Các tin tặc có tổ chức đang nhắm vào mục tiêu của BCS bây giờ”
NỘI DUNG CHÍNH
BCS kêu gọi các Dapp hành động sau vụ hack
- Các chủ dự án làm việc với công ty kiểm toán của bạn để kiểm tra tình hình dự án. Nếu dự án tạo ra các bản phân tách (fork) nên kiểm tra 2 lần, 3 lần so với phiên bản gốc.
- Áp dụng các biện pháp kiểm soát rủi ro cần thiết để chủ động theo dõi mọi bất thường theo thời gian thực và tạm dừng giao thức nếu có bất thường xảy ra.
- Lập kế hoạch dự phòng cho trường hợp xấu nhất nếu (một vụ hack) xảy ra.
- Thiết lập chương trình tiền thưởng để khuyến khích các tổ chức, doanh nghiệp hoặc bên thứ 3 tìm và báo cáo lỗ hổng bảo mật
Lỗ hổng qua vụ hack Binance Smart Chain bằng Flash Loan
Các hình thức tài chính phi tập trung (DEFI) còn khá mới mẻ và hấp dẫn bởi các nhà đầu tư. Bên cạnh đó cũng có rất nhiều rủi ro cho cả nhà đầu tư cũng như những nhà phát triển dự án trong việc đánh giá đầy đủ về tính bảo mật của dự án. Dưới đây là twitter của PancakeBunnyFin mô tả các thức tấn công của hacker.
Thông qua các vụ hack Binance Smart Chain bằng phương thức cho vay nhanh – Flash Loan. Ta có thể mô tả như sau: Về cơ bản, Flash Loan cho phép người dùng vay số lượng lớn tài sản từ nhóm thanh khoản trên chuỗi – “on-chain liquidity pool” mà họ phải trả lại trong cùng một giao dịch với một khoản phí thấp. Vấn đề là, số lượng lớn tài sản đó có thể được sử dụng để “thao túng thị trường bằng một giao dịch lớn” thông qua các sàn phi tập trung DEX – Decentralized Exchange. Các bước của hacker có thể thực hiện như sau:
- Vay một số lượng lớn token A từ giao thức hỗ trợ các khoản vay nhanh;
- Hoán đổi (Swap) token A lấy token B trên DEX (làm giảm giá token A và tăng giá token B trên DEX);
- Gửi token B đã mua làm tài sản thế chấp trên giao thức DeFi sử dụng DEX ở trên (nguồn cấp dữ liệu về giá duy nhất của token A) và sử dụng giá bị thao túng (làm giảm giá token A ở trên) để vay số lượng token A lớn hơn mức bình thường;
- Sử dụng một phần của số token A đã vay (lần 2) để trả lại toàn bộ khoản vay flash ban đầu và giữ số token A còn lại, tạo ra lợi nhuận từ nguồn cấp dữ liệu giá bị thao túng của giao thức;
- Khi giá của token A và B trên DEX trở lại với giá thực trên toàn thị trường, giao thức DeFi tạo ra khoản nợ có giá trị lớn hơn tài sản thế chấp, trực tiếp gây hại cho người dùng vô tội khác.
Kết luận
Các khoản vay nhanh – Flash Loan là một hình thức tài chính mới sơ khai trong lĩnh vực tài chính phi tập trung – DeFi, giúp mở ra các ứng dụng hấp dẫn và giảm rào cản để tạo làn sóng cho các nhà đầu tư mới tham gia vào thị trường.
Mặc dù, Flash Loan đã vô tình tài trợ cho các cuộc tấn công vào các giao thức DeFi vừa qua, nhưng chúng đơn giản là một công cụ tài chính có ích cho các nhà phát triển và không nên loại bỏ hoàn toàn vì giá trị ứng dụng của nó. Các khoản vay nhanh – Flash Loan không tạo ra lỗ hổng mà thay vào đó chúng giúp phát hiện lỗ hổng đang tồn tại để sớm khắc phục và tiếp tục phát triển trong tương lai.
Để lưu trữ các loại crypto trong ví lạnh bạn có thể tham khảo tại đây https://hocvienbitcoin.com/Ledger
 bằng Flash Loan hơn tỉ USD){kind=link}