Từ vụ tấn công lỗ hổng làm thất thoát 1.193 ETH, App DeFi có thực sự an toàn?

Cuối tuần qua, vụ tấn công một lỗ hổng bảo mật của hợp đồng thông minh đã buộc các nhà phát triển ứng dụng Fulcrum (dựa trên nền tảng Ethereum) tắt một phần hiệu lực của hợp đồng thông minh của mình. Một phân tích xâm phạm dữ liệu gần đây cho thấy những kẻ tấn công đã sử dụng một loạt các giao dịch phức tạp của nhiều ứng dụng khác nhau để khai thác lỗ hổng.

Khả năng chống chịu của DeFi

Vụ tấn công này đã làm dấy lên câu hỏi về khả năng chống chịu của DeFi. Charlie Lee, nhà sáng lập Litecoin cho biết cái gọi là các ứng dụng phi tập trung có một chìa khóa quản trị để tạm dừng các hợp đồng thực ra chỉ là cái vẻ ngoài. Nhà phát triển Lightning Network là Alex Bosworth cũng chia sẻ quan điểm này. Ông cho rằng, thực chất là người dùng đang vận hành một dịch vụ tài chính và thực sự chẳng sở hữu cái gì cả.

If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d

Được tài trợ

Được tài trợ

— Alex Bosworth ☇ (@alexbosworth) February 15, 2020

Dù những tuyên bố về phi tập trung tuyệt đối có chính xác hay không thì vụ việc cũng chỉ ra vấn đề có tính nền tảng hơn và rộng lớn hơn tồn tại trong lĩnh vực này. Một báo cáo của các nhà nghiên cứu tại bZx cho biết là tài khoản của người sử dụng an toàn. Họ đã thực hiện vá lỗ hổng để tránh các vụ tấn công tương tự trong tương lai. Mặc dù vậy, việc sửa chữa nhất thời như thế không thể ngăn cản khả năng bị tấn công trong tương lai.

Các dApps trở thành mục tiêu tấn công của hacker

Các ứng dụng tài chính như của Fulcrum được cho là những honeypots (tài nguyên giả dạng) vô cùng phong phú đối với các hacker. Việc chạy liên tục và với các chức năng phức tạp ngày càng tăng lên thực tế thì làm cho các hợp đồng thông minh trở thành nạn nhân  của các vụ tấn công lỗ hổng. Điều này cho thấy, các ứng dụng này trở thành mục tiêu thu hút hacker. Nhà báo và là nhà quan sát Larry Cermark đã làm rõ vấn đề này qua Twitter của mình. Ông mô tả các ứng dụng DeFi hiện thời như một phần thưởng triệu đô mở 24/7, và với  rất ít hậu quả. Cermark kết luận, việc tạo ra ứng dụng DeFi phải là một cơn đầu đầu dai dẳng đối với các nhà phát triển.

In all seriousness, I can’t even imagine the stress that the DeFi currently have EVERY SINGLE DAY. It’s a multi million dollar bounty open 24/7 and with very little consequences.

— Larry Cermak (@lawmaster) February 18, 2020

Tình cảnh chưa từng có

Trong khi đó, những người khác cho rằng những người mà đang còn còn lạ lẫm với ngành công nghiệp này đang đầu tư một nguồn tiền lớn vào các dApps mới và phức tạp. Trong một Twitter, CEO của MyCrypto là Monahan đã nêu chi tiết về việc bZX đã đánh trúng vấn đề của một số khả năng bị tổn thương trước đó. Chính các khoản vay nhanh không cần ký quỹ làm cho vấn đề lớn hơn, dễ hơn và rõ ràng hơn.

The problem is idiots can build an exciting product, ignore security, refuse to learn, and still handle millions of dollars worth of your money bc y’all think #DeFi is safe. 😕

1. Start holding people accountable 2. Stop giving idiots your money 3. Start learning from history — Taylor Monahan (@tayvano_) February 18, 2020

Cuối cùng, vị CEO này kết luận là những vụ tấn công DeFi trước như vậy là đã đủ, và mọi người cần phải rời khỏi lĩnh vực này. Monahan cũng cho rằng những người trong cuộc nên có trách nhiệm giải trình lớn hơn.