Khi đối mặt với khủng hoảng Curve, liệu có phải không còn cách nào ứng phó? Nhìn từ góc độ khai thác DeFi để tìm chiến lược đối phó
Tuyển chọn TechFlowTuyển chọn TechFlow
Khi đối mặt với khủng hoảng Curve, liệu có phải không còn cách nào ứng phó? Nhìn từ góc độ khai thác DeFi để tìm chiến lược đối phó
Làm thế nào để phòng ngừa các rủi ro tiềm ẩn tương tự khi khai thác DeFi hàng ngày?
Chuyên sâu báo cáo Web3Tác giả: Luke (Người đam mê DeFi, Trưởng sản phẩm Cobo Argus)
Thế giới DeFi đang chao đảo vì vụ tấn công mới nhất nhằm vào Curve trong những ngày gần đây. Kể từ khi bị tấn công vào ngày 30 tháng 7, giá CRV đã giảm mạnh từ 0,74 USDT xuống dưới 0,5 USDT, hôm nay có phần phục hồi nhẹ và hiện ổn định trên mức 0,6 USDT. Mặc dù hiện tại đã xác định được nguyên nhân là do lỗi trong phiên bản cũ của ngôn ngữ lập trình Vyper trên Ethereum, nhưng cuộc khủng hoảng mà Curve đang đối mặt vẫn chưa được giải quyết.
Do người sáng lập Curve nắm giữ lượng lớn CRV thế chấp trên chuỗi để vay mượn, nếu giá tiếp tục giảm sâu, rất có thể sẽ dẫn đến việc thanh lý hàng loạt CRV, gây ra chuỗi thanh lý liên hoàn, khiến giá CRV về 0 cũng không phải là điều không thể. Với tư cách là một trong những giao thức lớn nhất trong lĩnh vực DeFi, cuộc khủng hoảng mới này của Curve một lần nữa giáng một đòn nghiêm trọng vào tính an toàn và độ tin cậy của DeFi, điều này có thể tạo ra nhiều tác động tiêu cực đến tương lai phát triển của DeFi.
Ở đây, tôi xin chỉ xuất phát từ góc độ của những thợ đào tham gia khai thác DeFi, thảo luận cách phòng ngừa các rủi ro tiềm tàng tương tự trong quá trình khai thác DeFi hàng ngày, cũng như giới thiệu các giải pháp và công cụ khả thi có thể sử dụng.
Bối cảnh sự việc
Trước tiên, chúng ta hãy điểm lại quá trình xảy ra cuộc khủng hoảng Curve thông qua dòng thời gian.
Ngày 30 tháng 7, 21:34, nhóm thanh khoản pETH-ETH trên Curve bị tấn công, giá pETH giảm xuống còn 383 USD. 22:50, nhóm msETH-ETH trên Curve bị tấn công. 23:34, nhóm alETH-ETH trên Curve bị tấn công.
Ngày 31 tháng 7, 0:44, ngôn ngữ lập trình Vyper trên Ethereum thông báo rằng cơ chế khóa lặp lại (reentrancy lock) trong các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 bị lỗi.
0:45, Twitter của Curve thông báo rằng do lỗi khóa lặp lại, các nhóm stablecoin sử dụng Vyper 0.2.15 (alETH/msETH/pETH) đã bị tấn công, còn các nhóm khác là an toàn.
3:08, nhóm CRV-ETH bị tấn công, giá CRV trên chuỗi giảm thấp nhất xuống khoảng 0,08.
16:41, Twitter của Curve khuyến nghị người dùng rút thanh khoản khỏi nhóm Tricrypto trên Arbitrum, mặc dù nhóm này chưa bị tấn công nhưng có thể đang gặp rủi ro.
Do Curve bị tấn công, trên chuỗi xuất hiện hàng loạt sự kiện bất thường, giá CRV lao dốc, nỗi lo ngại vị thế vay mượn của mich có thể bị thanh lý khiến người dùng rút thanh khoản khỏi Aave, lãi suất của USDC và USDT tăng cao bất thường. Thế giới DeFi đang bị cuốn vào một loạt rủi ro dây chuyền.
Phân tích nguyên nhân
Điểm đặc biệt của sự cố an ninh lần này nằm ở chỗ: lỗi thuộc về cấp độ ngôn ngữ hợp đồng thông minh, dẫn đến việc cơ chế bảo vệ chống lặp lại của một số dự án nổi tiếng trở nên vô hiệu. May mắn thay, vấn đề xảy ra với Vyper chứ không phải Solidity, nếu không thì toàn bộ thế giới DeFi có thể đã lâm nguy.
DeFi thu hút đông đảo người dùng tham gia nhờ chi phí giao dịch thấp, tính kết hợp linh hoạt và mang lại lợi nhuận đầu tư vượt trội so với thế giới truyền thống. Tuy nhiên, an toàn ví và an toàn hợp đồng thông minh luôn là thanh kiếm Damocles treo lơ lửng trên đầu DeFi.
Việc các giao thức lâu đời và uy tín như Euler, Curve liên tiếp sập nguồn thực sự khiến nhiều người tin tưởng vào DeFi bắt đầu mất niềm tin. Khi giao thức gặp sự cố, thường là toàn bộ vốn gốc bị mất trắng. Ngoài rủi ro hợp đồng thông minh, còn có các rủi ro như lừa đảo钓鱼 (phishing), rò rỉ khóa riêng tư... Làm sao để vừa đảm bảo an toàn vừa duy trì hiệu quả khi tham gia DeFi vẫn luôn là bài toán nan giải của ngành.
Đội ngũ Cobo luôn tích cực hoạt động trong lĩnh vực DeFi và nổi tiếng với việc chú trọng an toàn. Bên trong Cobo, đội ngũ đã xây dựng một bộ giải pháp nội bộ chuyên xử lý các loại vấn đề an toàn DeFi. Hiện nay, đội ngũ Cobo đã đưa bộ giải pháp nội bộ này ra thị trường dưới dạng sản phẩm, ra mắt Cobo Argus - một giải pháp dành riêng cho các tình huống DeFi, và đạt TVL 100 triệu đô la Mỹ ngay sau khi ra mắt phiên bản mới.
Chiến lược ứng phó
Đối với các sự kiện tương tự như vụ việc tối qua của Curve, việc phòng ngừa trước hầu như không thể thực hiện được. Với các thợ đào DeFi thông thường, chỉ có thể hy vọng phát hiện kịp thời sự cố và áp dụng các biện pháp ứng phó. Trong trường hợp này, việc tận dụng tốt các công cụ như Cobo Argus sẽ đóng vai trò hỗ trợ cực kỳ lớn. Chức năng robot rút lui (withdrawal bot) của Cobo Argus có thể giám sát các chỉ số rủi ro trên chuỗi, giúp người dùng rút lui ngay lập tức khi phát hiện bất thường.
Dưới đây là phân tích cụ thể cách sử dụng robot rút lui trên Cobo Argus trong bối cảnh của Curve:
Khi các nhóm thanh khoản trên Curve gặp sự cố, có hai tín hiệu rõ ràng:
1. Tài sản neo (pegged asset) bị lệch giá nghiêm trọng;
2. Do hacker tấn công và các nhà đầu tư lớn rút chạy, TVL giảm mạnh.
Nếu sử dụng Cobo Argus, chúng ta có thể thiết lập hai chỉ số giám sát này: theo dõi tỷ lệ phần trăm của một token nhất định trong nhóm LP, đồng thời theo dõi so sánh giữa vốn gốc người dùng đầu tư và tổng lượng tiền trong nhóm LP. Như vậy, chúng ta có thể phát hiện sớm bất thường và robot sẽ tự động rút vốn gốc về.
Trong trường hợp thông thường, đa số người dùng chỉ biết được giao thức DeFi gặp rủi ro khi đọc cảnh báo từ các "mũ trắng" trên Twitter, lúc đó có thể đã vài giờ trôi qua kể từ khi bị tấn công, và cơ hội cứu vốn gần như không còn.
Trong khi đó, việc dùng robot để giám sát các chỉ số rủi ro trên chuỗi, tự động rút lui ngay khi có tín hiệu rủi ro, có thể giúp người dùng cứu tài sản một cách rất hiệu quả.
Các sự kiện rủi ro trên chuỗi như tấn công hacker, lệch giá token, rút tiền hàng loạt khỏi giao thức cho vay... đều có thể được giám sát thông qua các chỉ số đặc thù. Cobo Argus cũng cho phép người dùng thiết lập robot tùy chỉnh, tự định nghĩa chỉ số giám sát và hành động gọi hợp đồng khi robot được kích hoạt.
Đối với người dùng chuyên sâu có kiến thức DeFi tốt, họ có thể tự đặt giá trị giám sát và hành động của robot, về lý thuyết có thể sử dụng trên bất kỳ giao thức DeFi nào. Trong cộng đồng Cobo Argus gần đây, đã có người dùng dùng robot tùy chỉnh cứu được tài sản của mình khỏi một giao thức cho vay.
Tất cả các chức năng này đều phi tập trung và không cần tin cậy — robot do Cobo vận hành, nhưng chỉ có thể thực hiện các quyền hạn thao tác DeFi mà người dùng đã ủy quyền, không thể vượt quyền thực hiện thao tác khác. Mọi quyền hạn đều được ghi nhận trong một hợp đồng thông minh không thể nâng cấp, mã hợp đồng và lịch sử ủy quyền hoàn toàn minh bạch trên chuỗi, có thể bị kiểm toán bởi bất kỳ ai.
Xin bổ sung thêm, hợp đồng thông minh của Cobo Argus được xây dựng dựa trên chức năng Plugin của Safe{Wallet}. Safe{Wallet} là ví đa ký lớn nhất, có TVL cao nhất và được công nhận là an toàn nhất trong hệ sinh thái Ethereum, phần lớn các giao thức DeFi đều dùng Safe{Wallet} để quản lý kho bạc. Plugin là tính năng mới nhất do Safe{Wallet} ra mắt, cho phép các nhà phát triển bên thứ ba mở rộng chức năng của Safe{Wallet} bằng cách viết Plugin.
Cobo luôn duy trì mối liên hệ chặt chẽ với đội ngũ Safe{Wallet}, và đã phát triển Cobo Argus ngay từ giai đoạn đầu khi Plugin ra mắt, trên nền tảng Safe{Wallet}, đưa ra một loạt giải pháp dành riêng cho các kịch bản DeFi:
-
Ủy quyền DeFi: Có thể cấp quyền thao tác với giao thức DeFi cụ thể cho một ví đơn ký thực hiện. Dùng Safe{Wallet} kết hợp ví phần cứng tuy an toàn nhưng quy trình sử dụng kém hiệu quả và rườm rà, không phù hợp với các thao tác DeFi thường xuyên, đặc biệt trong các sự kiện sập giao thức DeFi, sự kém hiệu quả này có thể là chí mạng.
Việc cấp quyền cụ thể cho một địa chỉ để thực hiện đơn ký giúp tăng hiệu suất mà không làm giảm độ an toàn. Bởi vì địa chỉ này chỉ thực hiện các thao tác được ủy quyền, không thể vượt quyền hay rút đi vốn gốc.
Thông qua chức năng ủy quyền của Cobo Argus, có thể tránh được các rủi ro như bị lừa钓鱼 dẫn đến thao tác sai, rò rỉ khóa riêng ví nóng làm mất toàn bộ vốn, hay nội bộ đội ngũ lạm dụng quyền lực chuyển tiền.
-
Robot DeFi: Trên nền tảng chức năng ủy quyền DeFi, Cobo Argus ra mắt chức năng robot, cho phép người dùng cấp quyền thao tác với giao thức DeFi cụ thể cho robot, sau đó robot thực hiện tự động hóa các thao tác. Ví dụ như tự động nhận thưởng, tự động bán và tái đầu tư, tự động rút vốn, v.v.
Hiện tại, Cobo Argus đã được nhiều đội quản lý tài sản DeFi và cá voi DeFi cá nhân sử dụng, không chỉ nâng cao hiệu quả DeFi mà còn tăng cường bảo vệ tài sản. Gần đây, các dự án như Solv và izumi cũng đã sử dụng Cobo Argus làm công cụ phân quyền và an toàn nền tảng. Trong tương lai, Cobo sẽ tiếp tục đổi mới, bảo vệ người dùng phổ thông và các builder trong ngành, thúc đẩy sự đổi mới và tiến bộ của ngành.
Cuối cùng, xét về dài hạn, DeFi vẫn sở hữu tiềm năng vô tận. Tuy nhiên, việc khai thác trong thế giới DeFi luôn tiềm ẩn những rủi ro không thể tránh khỏi, mong mọi người tham gia một cách thận trọng. "Muốn làm tốt việc gì, phải trước hết chuẩn bị tốt công cụ", khi thợ đào DeFi nâng cao cảnh giác và tích lũy kinh nghiệm, cũng nên biết tận dụng công cụ, sẵn sàng ứng phó tốt nhất có thể trước các rủi ro khác nhau.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@0xLukeCrypto
