Around the Block #3: Phân tích vụ tấn công bZx, các điểm yếu của DeFi, cũng như thực trạng thẻ ghi nợ Crypto

Phân tích vụ tấn công bZx và những lỗ hổng của DeFi

DeFi (Tài chính phi tập trung) đang thay đổi cách các công cụ tài chính được cung cấp trên môi trường trực tuyến, giúp chúng trở nên dễ tiếp cận, có thể lập trình và thực tế với tất cả mọi người. Cũng giống như Internet đã cho phép bất kỳ ai tạo ra, chia sẻ và lập trình thông tin, DeFi mở ra sự tự do tương tự cho tiền tệ và lĩnh vực tài chính.

Các sản phẩm DeFi về bản chất là không cần sự tin cậy—người dùng không phải phụ thuộc vào bên trung gian. Chúng mang tính toàn cầu, minh bạch (ai cũng có thể kiểm tra mã nguồn) và bất biến (chỉ có thể thay đổi khi đã được lập trình sẵn). Tính hợp thành của DeFi cho phép các sản phẩm được kết nối và tích hợp với nhau, giống như việc ghép các khối Lego để tạo thành một tổng thể lớn mạnh hơn từng phần riêng lẻ.

Bối cảnh

Đây là một môi trường mới, nơi bất kỳ ai cũng có thể lập trình các ứng dụng tài chính. Kết quả là một mạng lưới các công cụ tài chính mạnh mẽ, giàu thanh khoản—một môi trường màu mỡ cho đổi mới và gia tăng giá trị sử dụng. DeFi, chẳng hạn, đã giới thiệu Flash Loan—khoản vay tức thì, không rủi ro, cho phép bất kỳ ai vay hàng triệu đô la chỉ trong một giao dịch duy nhất. Nếu khoản vay không được hoàn trả vào cuối giao dịch, toàn bộ giao dịch sẽ bị đảo ngược. Không có vốn nào bị rủi ro, và người dùng có thể triển khai số tiền lớn cho bất kỳ mục đích nào.

Diễn biến các vụ tấn công bZx

bZx (hay còn gọi là Fulcrum) là nền tảng DeFi cung cấp dịch vụ cho vay, đi vay và giao dịch ký quỹ tài sản mã hóa. Bất kỳ ai cũng có thể thêm vốn vào pool của bZx và vay trên số vốn đó, hoặc mở các vị thế long hoặc short sử dụng đòn bẩy đối với các tài sản khác. Nền tảng này tích hợp với nhiều giao thức DeFi khác để cung cấp dịch vụ toàn diện, tận dụng tối đa tính hợp thành của DeFi.

Vụ tấn công tập trung vào một giao dịch tinh vi duy nhất: kẻ tấn công đã vay hàng triệu đô la thông qua flash loan và chuyển số tiền này qua nhiều giao thức DeFi để thao túng, khai thác pool tài sản thế chấp của bZx. Cụ thể:

1. Kẻ tấn công vay 10 triệu đô la ETH qua flash loan từ một giao thức cho vay phi tập trung (Thành phần #1), không cần tài sản thế chấp.

2. Họ dùng 5 triệu đô la ETH để mở vị thế short 5x trên sổ lệnh ETH-wBTC tại bZx (Thành phần #2). bZx chuyển lệnh sang một bộ tổng hợp thanh khoản (Thành phần #3), tìm tỷ giá tốt nhất và thực hiện giao dịch trên một sàn phi tập trung (Thành phần #4). Điều này gây trượt giá mạnh, đẩy giá wBTC tăng gấp ba lần.

3. Kẻ tấn công chuyển 5 triệu đô la ETH còn lại sang một giao thức cho vay khác (Thành phần #5) và vay wBTC dựa trên số ETH làm tài sản thế chấp.

4. Họ bán số wBTC vừa vay được với mức giá bị thổi phồng trên sàn phi tập trung.

5. Dùng lợi nhuận từ bước 4 cùng tiền từ bước 2, kẻ tấn công hoàn trả đầy đủ khoản flash loan, hoàn tất giao dịch thành công.

Chiến lược này mang lại lợi nhuận trực tiếp 71 ETH, cùng một NBĐH trên giao thức khác trị giá 1.200 ETH, tổng cộng lãi ròng 1.271 ETH (tương đương 355.000 đô la tại thời điểm đó). Giao dịch còn để lại cho bZx một khoản vay âm lớn, tạo thành “khoản lỗ”.

Vụ tấn công dựa trên khả năng mở vị thế short đòn bẩy 5x trên một sổ lệnh thanh khoản thấp, rất dễ bị trượt giá. bZx lẽ ra đã có các biện pháp bảo vệ, nhưng kẻ tấn công đã khai thác một lỗi để vượt qua các kiểm tra này. Lỗ hổng này khiến pool tài sản thế chấp của bZx chịu thiệt hại nặng nề, trong khi các sop còn lại hoạt động đúng chức năng và không phát sinh tổn thất.

Hệ lụy và vụ tấn công thứ hai

Ngay sau vụ tấn công, đội ngũ bZx đã sử dụng quyền siêu quản trị để tạm dừng giao dịch và cho vay, khắc phục lỗi cốt lõi. Khi cộng đồng còn đang tranh luận và hoạt động trở lại, một vụ tấn công thứ hai diễn ra với phương pháp tương tự.

Vụ thứ hai gần như lặp lại vụ đầu nhưng không cần vượt qua quy tắc trượt giá. Thay vào đó, flash loan được dùng để đẩy giá Synthetix USD trên household phi tập trung lên 2 đô la (từ 1 đô la). Kẻ tấn công sau đó gửi sUSD vào bZx làm tài sản thế chấp ở mức giá cao, vay nhiều ETH hơn mức cho phép. Kẻ tấn công rút số tiền vừa vay được, để lại khoản vay âm cho bZx, thu về 2.378 ETH (sau khi trả xong flash loan), tương đương 630.000 đô la tại thời điểm đó.

Đây là một dạng tấn công oracle, khi giá trị tham chiếu bị thao túng. Trong trường hợp này, noted flash loan đã đẩy giá giao ngay ETH-sUSD trên sàn phi tập trung (oracle), mà bZx dùng để xác định giá trị tài sản thế chấp cho vay.

Cách tiếp cận an ninh DeFi

DeFi mở ra các sản phẩm tài chính mới mạnh mẽ, đan xen phức tạp. Các vụ tấn công là lời cảnh tỉnh: lĩnh vực tài chính có thể lập trình sẽ luôn có lỗ hổng, nhất là khi đổi mới liên tục. Hiện nay, flash loan kết hợp với mạng lưới giao thức hợp thành đã tạo ra một nhóm lỗ hổng mới hoàn toàn.

Lịch sử cho thấy, khi phát hiện một kiểu khai thác mới, lập tức xuất hiện hàng loạt vụ tấn công tương tự. Toàn bộ hệ sinh thái đều chú ý, hàng loạt chuyên gia cùng tìm kiếm các điểm yếu tương tự. Chúng ta nên chuẩn bị đón nhận thêm các vụ tấn công flash loan, kiểu oracle. Đây là cách DeFi trở nên vững mạnh hơn qua thời gian.

Ví dụ, sau sự cố DAO lộ ra lỗ hổng reentrancy, cộng đồng đã sớm tìm cách ngăn chặn. Giờ đây, các vụ tấn công reentrancy gần như biến mất. Chung quy, đây là tiến trình thích nghi: lỗ hổng bị phát hiện, được vá lại, và toàn ngành ngày càng mạnh hơn sau mỗi chu kỳ.

DeFi sẽ không thể tuyệt đối an toàn, nhưng chúng ta có thể xây dựng một hệ sinh thái vững chắc hơn với Phòng thủ nhiều tầng—nhiều lớp dự phòng để tăng bảo mật. Bảo vệ người sop và bảo hiểm cũng cần phát triển tương ứng. Đáng chú ý, một sản phẩm bảo hiểm DeFi DeFi đã chi trả lần đầu sau các vụ tấn công bZx—một cột mốc đáng khích lệ.

Đặt vấn đề phi tập trung trong DeFi

Đội ngũ bZx đã sử dụng quyền siêu quản trị để dừng hoạt động cho vay và giao dịch, minh chứng cho một điểm kiểm soát tập trung. Dù điều này cần thiết để ngăn việc rút cạn pool tài sản thế chấp, nó tiềm ẩn rủi ro mới—nếu các khóa này bị lạm dụng hoặc xâm phạm thì sao? Loại bỏ quyền kiểm soát đơn phương là cốt lõi của tiền mã hóa. Vậy chúng ta nên giải quyết thế nào?

Tính phi tập trung nằm trên một phổ, và các đội ngũ nên áp dụng lộ trình tiến hóa từng bước. Với dịch vụ DeFi mới, phi tập trung hoàn toàn từ đầu là không khả thi—nếu phát hiện lỗ hổng mà không thể can thiệp ngay, dự án có thể đối mặt với nguy cơ sụp đổ. Thay vào đó, các giao thức nên phi tập trung dần, sau khi xây dựng được hồ sơ bảo mật vững chắc.

Những điều then chốt

DeFi đang mở rộng giới hạn và định hình các sản phẩm tài chính lập trình. Tốc độ phát triển rất ấn tượng, nhưng các vụ khai thác cũng cho thấy sức mạnh phá vỡ của sự sáng tạo. Chúng ta cần duy trì cái nhìn toàn diện—sẽ còn nhiều vụ tấn công, nhưng đó là một phần tất yếu trong tiến trình phát triển của DeFi. Sau cùng, một hệ sinh thái mạnh hơn với cơ chế bảo vệ người dùng tốt hơn sẽ dần hình thành.

Thực trạng thẻ ghi nợ tiền mã hóa

“Chi tiêu” luôn là động lực then chốt cho giá trị ứng dụng của tiền mã hóa, kể từ khi Satoshi công bố whitepaper Bitcoin. Nhà đầu tư tiền mã hóa lâu nay luôn tìm cách tiêu dùng tài sản—even chỉ để mua cà phê tại quán địa phương. Thẻ ghi nợ tiền mã hóa giải quyết khoảng trống này; về chức năng, chúng tương tự thẻ truyền thống nhưng rút tiền từ số dư crypto thay vì tài khoản ngân hàng.

Lịch sử

Các dòng thẻ ghi nợ xuất hiện từ nhiều nỗ lực khác nhau, bao gồm một thẻ đầu tiên trên nền tảng lớn, ra đời từ thời kỳ trước. Chiếc thẻ tiên phong này cho phép khách hàng thanh toán Bitcoin tại bất kỳ nơi nào chấp nhận Visa. Tuy nhiên, đó không phải sản phẩm white-label mà do nhà xử lý thanh toán phát hành.

Sau đó đến BitPay, Bitwala, Wirex và Coinsbank. Trong làn sóng ICO, các công ty như TenX, Token Card (nay là Monolith), và Monaco (nay là crypto.com) cũng tham gia. TenX gọi vốn được 80 triệu đô la chỉ trong 7 phút qua ICO; Token Card và Monaco lần lượt huy động 12,7 triệu và 27 triệu đô la, phản ánh sự hào hứng với thẻ ghi nợ crypto. Các công ty này chủ yếu cạnh tranh về mức phí thấp, trải nghiệm người dùng tốt hơn và phần thưởng hấp dẫn.

Thách thức là: giai đoạn đó ít nhà xử lý thanh toán sẵn sàng phát hành thẻ ghi nợ crypto—một đơn vị chịu trách nhiệm một loại thẻ riêng biệt, đơn vị còn lại chịu trách nhiệm phần lớn thẻ khác. Việc được đón nhận cũng còn hạn chế. Một sản phẩm thẻ chỉ thu hút ít người dùng do họ thích nắm giữ Bitcoin (vì biến động giá và giá trị đầu tư) hơn là tiêu dùng. Đến nay, hệ sinh thái đã trưởng thành và stablecoin phát triển, giải pháp thẻ ghi nợ toàn diện hơn sẵn sàng cho đợt bùng nổ mới.

Thời gian gần đây, một nhà xử lý chuyển hướng và đổi thương hiệu, ra mắt thẻ mới tập trung vào thị trường Anh. Với phần lớn các đơn vị còn lại, trước đó Visa đã loại bỏ một nhà xử lý do “vi phạm quy tắc hoạt động”, khiến các thẻ đó bị ngừng phát hành.

Tương lai, thẻ ghi nợ crypto sẽ còn tăng tốc, nhất là với stablecoin sinh lãi như USDC trên nhiều nền tảng. Một nền tảng lớn vừa đạt trạng thái Principal Member với Visa, cho phép phát hành thẻ trực tiếp tại EU mà không cần ngân hàng bảo trợ—một bước ngoặt lịch sử.

Tin nổi bật: Bình luận về các sự kiện lớn

Nâng cấp gây tranh cãi của Ethereum thổi bùng tranh luận cộng đồng

Ethereum gần đây đối mặt với cuộc tranh luận căng thẳng về đề xuất nâng cấp thuật toán đào: ProgPow (Progressive Proof of Work). Mục tiêu là cho phép phần cứng phổ thông tham gia khai thác Ethereum bằng cách giảm lợi thế của máy đào ASIC (thiết bị chuyên dụng, công suất lớn đang thống trị thị trường đào coin hiện nay).

Việc áp dụng ProgPow sẽ giúp khai thác dễ tiếp cận hơn, có thể gia tăng tính phi tập trung và đưa Ethereum trở lại mục tiêu kháng ASIC ban đầu.

Tranh cãi nằm ở chỗ: ProgPow sẽ làm giảm tổng sức mạnh tính toán của mạng (vì GPU yếu hơn ASIC), khiến Ethereum dễ bị tấn công 51%. Không thuật toán nào kháng ASIC hoàn toàn; sớm muộn gì ASIC chuyên dụng sẽ xuất hiện để nhắm vào ProgPow. Nhiều ý kiến cho rằng ASIC là cần thiết để bảo vệ các mạng PoW—chưa có blockchain ASIC nào bị tấn công 51%.

Bất cứ đợt fork gây tranh cãi nào đều cần xử lý thận trọng. Nguy cơ đã lớn hơn nhiều, nhất là với các tài sản DeFi như USDC và USDT trên Ethereum, có thể làm suy yếu khả năng thực hiện các fork gây chia rẽ của mạng lưới.

Dù ProgPow đã tồn tại lâu, vừa qua đề xuất này được thông qua và lên lịch triển khai. Tuy nhiên, phản ứng gay gắt từ cộng đồng khiến nó lại bị hoãn.

Tron bị cáo buộc “thâu tóm thù địch” blockchain Steem

Steemit—nền tảng xã hội tương tự Reddit—thông báo hợp tác chuyển sang blockchain Tron. Cộng đồng Steem lo ngại Tron Foundation có quá nhiều quyền kiểm soát và lập tức tiến hành soft fork vô hiệu hóa quyền biểu quyết của Tron.

Tron đáp trả bằng việc phối hợp với các sàn lớn, bao gồm một sàn dẫn đầu, thực hiện hard fork khôi phục quyền biểu quyết và đóng băng token của các thành viên Steem tham gia quản trị. Cộng đồng Steem xem đây là một nỗ lực thâu tóm thù địch.

Steem vận hành theo cơ chế Ủy quyền chứng thực cổ phần (dPOS), nên tiền gửi từ các sàn lớn quyết định thành công của Tron trong việc giành phiếu biểu quyết. Lãnh đạo một sàn lớn thừa nhận đã duyệt cho Tron hard fork nhưng khẳng định không hay biết về tranh cãi, sau đó lên tiếng chỉ trích Tron vì hành động thiếu thiện chí.

Điều này cho thấy quản trị blockchain rất phức tạp. Với các chuỗi dPOS, đa số quyết định—Tron đơn thuần vận hành theo luật hệ thống. Tuy nhiên, giá trị cuối cùng vẫn thuộc về người dùng, những người nắm quyền sở hữu kinh tế. Cộng đồng Steem đang phản ứng bằng cách tắt ứng dụng, rời khỏi foundation, và ủng hộ các validator được tin tưởng.

Vai trò của các sàn giao dịch và đơn vị lưu ký trong quản trị blockchain ngày càng lớn. Khi kiểm soát phần lớn tài sản, họ nắm giữ sức mạnh chính trị đáng kể. Khi lĩnh vực này trưởng thành, các nền tảng tập trung sẽ triển khai thêm nhiều công cụ quản trị.

Kết luận từ tin nổi bật

Blockchain là công nghệ thay đổi căn bản—nhưng về bản chất, vẫn là pipeline thí nghiệm khoa học máy tính quy mô lớn với sự tham gia của toàn xã hội. Không ai sở hữu những mạng lưới này; chúng thuộc về cộng đồng chung. Những thời điểm này là phép thử quan trọng cho quản trị blockchain. Ethereum và Steem đều đang thiết lập những tiền lệ lớn. Mọi người nên chú ý theo dõi sát sao.

FAQ

Tấn công flash loan bZx là gì? Kẻ tấn công đã lợi dụng lỗ hổng DeFi để trục lợi như thế nào?

Vụ tấn công bZx đã tận dụng flash loan để thao túng giá Uniswap, cho phép mở vị thế short đòn bẩy và thực hiện arbitrage. Nhóm tấn công thu về khoảng 360.000 đô la khi nhắm vào lỗ hổng oracle giá và các cơ chế bảo vệ chưa đủ của giao thức DeFi.

Những lỗ hổng và rủi ro bảo mật phổ biến trong giao thức DeFi là gì? Làm sao phòng tránh?

Các giao thức DeFi đối diện các rủi ro như tấn công reentrancy và rò rỉ khóa riêng. Để phòng tránh, cần áp dụng thực hành tốt khi lập trình hợp đồng thông minh, phản ứng tự động với sự cố và kiểm toán toàn diện trên môi trường mô phỏng mainnet.

Flash loan (Flash Loan) là gì? Vì sao dễ bị lợi dụng để tấn công?

Flash loan trong DeFi là khoản vay không tài sản đảm bảo, phải hoàn trả ngay trong cùng một giao dịch. Điểm yếu là cho phép truy cập lượng vốn lớn mà không cần tài sản thế chấp, giúp kẻ tấn công thao túng giá tài sản và khai thác nhiều giao thức cùng lúc.

Các nhà cung cấp và sản phẩm thẻ ghi nợ tiền mã hóa lớn nhất hiện nay là ai?

Các nhà cung cấp hàng đầu gồm BitPay và Revolut. Thẻ của họ cho phép chi tiêu và rút tiền bằng crypto, mang lại giải pháp an toàn và tiện dụng cho người dùng tài sản số.

Lợi ích và rủi ro của thẻ ghi nợ tiền mã hóa là gì?

Lợi ích là thuận tiện chi tiêu crypto, truy cập vốn tức thời. Rủi ro bao gồm biến động giá, lỗ hổng bảo mật và phụ thuộc vào các nhà cung cấp tập trung.

Những rủi ro bảo mật trong khai thác thanh khoản và giao thức cho vay DeFi là gì?

Rủi ro gồm lỗi mã, quy tắc lỏng lẻo và các nguy cơ tài chính hệ thống. Dự án cần kiểm toán kỹ lưỡng, kiểm soát rủi ro chặt chẽ và giám sát liên tục để ngăn thao túng thị trường, khủng hoảng thanh khoản.

Các dự án DeFi đã củng cố an ninh như thế nào sau sự kiện bZx?

Các giao thức DeFi đã thêm các nâng cấp khóa thời gian, tăng cường quy trình kiểm toán, rà soát và thúc đẩy phân quyền quản trị nhằm giảm thiểu rủi ro về sau.

Hạn chế và phí chính khi sử dụng thẻ ghi nợ tiền mã hóa là gì?

Thẻ ghi nợ crypto thường có phí giao dịch thấp nhưng áp dụng hạn mức chi tiêu và rút tiền hàng ngày. Mức phí và hạn chế thay đổi tùy loại thẻ. Luôn kiểm tra loại tiền mã hóa hỗ trợ trước khi sử dụng.