Yam Finance启示:Liệu các cuộc tấn công quản trị có thúc đẩy sự phát triển hơn nữa của quản trị phi tập trung?
Tuyển chọn TechFlowTuyển chọn TechFlow
Yam Finance启示:Liệu các cuộc tấn công quản trị có thúc đẩy sự phát triển hơn nữa của quản trị phi tập trung?
Do việc quản trị phi tập trung được ứng dụng rộng rãi trong các giao thức DeFi, các cuộc tấn công vào cơ chế quản trị cũng trở thành một trong những phương thức chính mà tin tặc sử dụng để thu lợi trên chuỗi.
Chuyên sâu báo cáo Web3Tác giả: Morty, TechFlow
Hôm qua, Yam Finance đã thành công ngăn chặn một cuộc tấn công quản trị nhắm vào kho dự trữ của giao thức. Trong cuộc tấn công này, kẻ tấn công đã âm thầm gửi đề xuất quản trị thông qua giao dịch nội bộ, trong đó bao gồm một hợp đồng chưa được xác minh nhằm mục đích chuyển toàn bộ quỹ dự trữ của giao thức Yam sang ví của chúng. Nếu thành công, Yam Finance sẽ mất 3,1 triệu USD.
Kẻ tấn công đã sử dụng một phương pháp rất phổ biến —— tấn công quản trị (governance attack). Do việc áp dụng rộng rãi cơ chế quản trị phi tập trung trong các giao thức DeFi, các cuộc tấn công quản trị đã trở thành một trong những cách chính để hacker kiếm lợi nhuận trên chuỗi.
Tư tưởng cốt lõi của blockchain là "Code is Law", vì vậy mới đặc biệt phụ thuộc vào quản trị trên chuỗi. Con đường đơn giản và trực tiếp nhất là phân bổ quyền lực quản trị theo số lượng token nắm giữ — thường thì càng nhiều token, quyền biểu quyết càng lớn. Người nắm giữ token có thể tham gia đề xuất và bỏ phiếu quản trị, mà nội dung có thể phức tạp hoặc đơn giản, khi được thông qua sẽ ảnh hưởng đến vận hành và phát triển của cả giao thức.
Nhìn một cách trực quan, điều này dường như phù hợp với lợi ích của người nắm giữ token, bởi vì càng nắm giữ nhiều token, họ càng ít có khả năng đưa ra các đề xuất hoặc bỏ phiếu đi ngược lại lợi ích bản thân. Tuy nhiên, đối với một số giao thức DeFi có giá trị khóa (TVL) cao, chỉ cần chi phí tấn công thấp hơn lợi nhuận thu được, sẽ luôn có người sẵn sàng thử. Khi LUNA/UST sụp đổ, Terra đã tạm dừng việc tạo khối để tránh nguy cơ bị tấn công quản trị với chi phí thấp do việc phát hành LUNA quy mô lớn.
Ngoài trường hợp thất bại của Yam Finance, cũng có không ít vụ tấn công thành công. Ví dụ, vào ngày 15 tháng 2 năm nay, Build Finance đã bị tấn công quản trị, khi kẻ tấn công thu lợi bằng cách tăng phát token. Sau khi tấn công thành công, chúng đã hoàn toàn kiểm soát được hợp đồng quản trị, khóa đúc và kho bạc. Sau sự cố này, token Build Finance đã mất toàn bộ giá trị, tương đương mức 0.
Ngoài việc kiểm soát lượng lớn token để tấn công, hacker còn tăng khả năng thông qua đề xuất bằng cách đăng nhiều đề xuất trong cùng một thời điểm, hoặc ngụy trang thành đề xuất quản trị bình thường.
Vào Giáng sinh năm ngoái, giao thức tài sản tổng hợp Mirror trên chuỗi Terra cũng từng trải qua một thử thách nghiêm trọng. Kẻ tấn công chuẩn bị kỹ lưỡng, sử dụng bốn biện pháp sau để tăng khả năng thông qua đề xuất, với mục tiêu lợi nhuận lên tới 38 triệu USD dưới dạng token MIR:
-
Chúng đã chuẩn bị hàng triệu USD giá trị token MIR;
-
Thời điểm tấn công rơi vào dịp Giáng sinh, khi phần lớn người nắm giữ token đang tập trung vào đời sống cá nhân thay vì theo dõi hoạt động trên chuỗi;
-
Ngụy trang đề xuất thành "hợp tác sâu rộng với Solana";
-
Đồng thời khởi động nhiều đề xuất khác nhau để浑水摸鱼 (tạo混 loạn đánh lén).
Về vấn đề này, Rune Christensen, nhà sáng lập MakerDAO cho rằng: "Hiện tại, vấn đề 'lý thuyết trò chơi cơ bản' của DAO chính là các mối đe dọa như tấn công quản trị. Nói một cách đơn giản, nếu ai đó thực sự kiểm soát đa số cổ phần có quyền biểu quyết, ví dụ như trong DeFi, họ có thể trực tiếp đánh cắp toàn bộ tài sản trong giao thức."
Đây là một mối lo ngại, bên cạnh đó còn có sự nghi ngờ phổ biến từ các nhà đầu tư về giá trị thực sự của token quản trị. Đối với phần lớn các giao thức DeFi, việc dùng số lượng token để đơn giản hóa quyền quản trị là một lối mòn, và nhiều giao thức khác gần như sao chép y nguyên mô hình trước đó mà thiếu đổi mới ở cấp độ quản trị. Dĩ nhiên, cũng có những sáng tạo đáng chú ý, ví dụ như Curve giới thiệu mô hình veToken, AC phát triển thêm veNFT dựa trên nền tảng veToken, hay Layer2 Optimism đang thực hiện phân tầng quản trị thông qua token gốc OP.
Điều đáng lo ngại nhất là khi thị trường bước vào chu kỳ熊市 (thị trường gấu), giá trị token giảm khiến chi phí tấn công thấp hơn, dẫn đến số lượng các cuộc tấn công quản trị có thể tăng gấp bội. Trước rủi ro gia tăng đột ngột, khả năng cao sẽ thúc đẩy các nhà phát triển/dự án suy nghĩ sâu sắc hơn về cơ chế quản trị, khai thác tiềm năng của token trong quản trị, từ đó đưa ra nhiều mô hình quản trị token thú vị hơn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
