
Lại một sự cố nữa xảy ra với dự án DeFi, phân tích sự kiện IDO của BZRX và các đề xuất phòng ngừa
Tuyển chọn TechFlowTuyển chọn TechFlow

Lại một sự cố nữa xảy ra với dự án DeFi, phân tích sự kiện IDO của BZRX và các đề xuất phòng ngừa
Sự việc lần này không phải là một dự án DeFi bị tấn công, cũng không phải hợp đồng DeFi có lỗ hổng.
Tác giả|Certik
Khi bạn biết tin đôi giày thể thao giới hạn AJ của Jordan sẽ chính thức phát hành lúc 18h tối nay, từ sáng sớm bạn đã mang ghế nhỏ ra xếp hàng trước cửa tiệm và chiếm được một vị trí khá tốt, đang hừng hực khí thế chuẩn bị chắc chắn giành được thì phát hiện vài người đứng trước mình không phải fan thật sự mà là phe phe (người mua đi bán lại kiếm lời).
Phe phe đã đặt cọc toàn bộ số lượng giày AJ mới còn lại trong cửa hàng, vì vậy bạn vội vàng chuyển sang mua qua mạng. Tuy nhiên, không ngoài dự đoán, giống như trước đây, do không trang bị máy tính cấu hình cao, cũng không có chương trình hỗ trợ chuyên dụng để抢购, tốc độ mạng cũng chưa bỏ tiền nâng cấp, nên đợt phát hành trực tuyến đầu tiên của đôi giày AJ đã bị mua sạch ngay lập tức.
Một đôi giày ban đầu chỉ vài nghìn Nhân dân tệ, bỗng dưng trên mạng tăng vọt lên mức hơn mười nghìn Nhân dân tệ, và giá bán lúc này không còn đến từ nhà bán lẻ chính hãng mà là những phe phe này.
Sự việc như vậy có lẽ bạn đã quá quen thuộc khi "cắt tay" mua sắm, nhưng lĩnh vực blockchain cũng liên tục xảy ra những chuyện tương tự.
Vào lúc 22h28 ngày 13 tháng 7 theo giờ Bắc Kinh, BZRX niêm yết trên Uniswap, một người dùng đã sử dụng hợp đồng thông minh để mua hơn 1.966.100 BZRX bằng 650 ETH ngay lập tức, chiếm tới 39,3% tổng số BZRX trong nhóm thanh khoản. Hai phút sau, giá tiền điện tử tăng mạnh do lượng mua lớn, người dùng này bắt đầu thực hiện hàng loạt giao dịch bán ra, thu về tổng cộng 2.030 ETH và 300.000 token BZRX.
Tuy nhiên, hành động này thực chất là kẻ tấn công đã chấp nhận rủi ro chi phí rất lớn (run out of gas). Trong quá trình tấn công thực tế, kẻ tấn công không rõ liệu các giao dịch tiếp theo của mình có được thợ đào khai thác và ghi vào khối hay không.

Ảnh chụp màn hình Twitter của Roman Storm
Theo thông tin từ kỹ sư bảo mật Roman Storm trên Twitter, thực tế trong tất cả các giao dịch bán BZRX gửi đi, có 14 giao dịch thất bại, và mỗi giao dịch thất bại đều phải trả phí gas đắt đỏ. Tất nhiên, trong đó có 15 giao dịch thành công, điều này có nghĩa xác suất thành công khoảng một nửa, cho thấy việc thực hiện cuộc tấn công thực sự chịu rủi ro rất lớn.
Nếu kẻ tấn công đang抢购 đôi giày AJ giới hạn, mỗi lần mua một đôi đều phải trả phí xử lý, và mỗi khi mua sẽ bị trừ phí xử lý ngay lập tức. Tuy nhiên, không phải mọi hành động mua đều thành công, một khi mua thất bại, phí xử lý cũng mất trắng.
Xét về tư duy tấn công, thực tế đây更像是 một vấn đề kinh tế học:
Giám sát chương trình để nhận được thông báo ra mắt BZRX
Mua một lượng lớn BZRX giá thấp trong một giao dịch
Tăng mạnh giá BZRX
Bán ra nhiều lần BZRX
Kẻ tấn công đã hoàn thành chuỗi thao tác này với tốc độ nhanh chóng, từ đó thu lợi nhuận.
Cuối tháng 6 năm nay, có lẽ bạn đã từng nghe về một sự kiện tương tự. Hai nhóm thanh khoản trên Balancer bị tấn công bằng khoản vay chớp nhoáng (flash loan), gây thiệt hại lên tới 500.000 đô la Mỹ. Sau khi hệ thống Skynet của CertiK phát hiện bất thường trong hợp đồng DeFi của Balancer, đã tiến hành phân tích. Vui lòng nhấp vào {" "} Tay không bắt Ethereum: Phân tích vụ tấn công Balancer và DeFi còn tương lai không? Balancer lại bị tấn công để tìm hiểu chi tiết.
Ngay sau khi token BZRX được đưa vào danh sách giao dịch trên Uniswap, kẻ tấn công đã lập tức mua một lượng lớn BZRX. Do cơ chế thị trường nhất định mà Uniswap thiết lập, khi một loại token bị mua với số lượng lớn, giá đơn vị sẽ tăng lên. Sau đó, kẻ tấn công thực hiện nhiều giao dịch bán ra lượng lớn BZRX với giá cao (việc bán ra mỗi lần BZRX sẽ khiến giá đơn vị BZRX giảm xuống), cuối cùng thu được lợi nhuận khổng lồ. Chi phí tấn công và lợi nhuận cuối cùng như sau:
Ảnh chụp màn hình Twitter của Roman Storm
Điểm chung giữa hai sự kiện này là, kẻ tấn công đều lợi dụng "khuyết điểm" trong cơ chế mô hình tài chính DeFi để thực hiện chênh lệch giá mua thấp bán cao.
Khác biệt của sự kiện lần này so với vụ tấn công Balancer là, trong vụ tấn công Balancer, kẻ tấn công cố tình kiểm soát và ép giảm số lượng token để thao túng giá. Còn trong vụ tấn công lần này, kẻ tấn công tận dụng khoảng thời gian BZRX vừa được đưa vào danh sách giao dịch Uniswap và giá còn thấp, mua theo quy trình bình thường để thu lợi. Vì vậy Roman Storm sau đó đăng thông tin trên Twitter cho rằng sự kiện BZRX IDO này không phải là khai thác giao thức hay hành vi hacker.
Tuy nhiên, khác với hợp đồng thông minh truyền thống, hợp đồng thông minh DeFi tồn tại lỗ hổng trong mô hình tài chính.
Ngay cả khi mã code không có lỗi, việc triển khai hợp đồng không có sơ hở, vấn đề vẫn có thể xuất phát từ lỗ hổng mô hình tài chính.
Nghe có vẻ khó phòng tránh?
CertiK đưa ra một số biện pháp cơ bản nhằm giúp các dự án DeFi phòng ngừa tái diễn các vấn đề như vậy:
Khi phát hành tiền mới, có thể tham khảo quy trình niêm yết trên sàn giao dịch. Trước khi mở bán tiền, sàn giao dịch căn cứ vào một chỉ số nào đó để cấp hạn mức mua cho người dùng, sau khi mở bán, người dùng chỉ có thể mua lượng tiền trong hạn mức nhất định. Như vậy sẽ không xảy ra tình trạng một người dùng mua gần 40% lượng tiền mới phát hành dẫn đến "thổi giá".
Sử dụng phương pháp giao dịch vòng (Ring trading), thiết lập khoảng thời gian hoạt động giao dịch, bán theo từng đợt.
Sử dụng phiên đấu giá theo lô tương tự dFusion hoặc các hình thức giao dịch như đấu giá kiểu Hà Lan để bán hàng.
Sự kiện lần này không phải là dự án DeFi bị hack, cũng không phải hợp đồng DeFi có lỗi. Nhưng trong quá trình đó, kẻ tấn công đã lợi dụng sơ hở lớn, đồng thời phản ánh phần nào sự non nớt của DeFi ở cấp độ tài chính chứ không phải ở khâu kỹ thuật. Như các chuyên gia đội ngũ CertiK đã phân tích trước đây, đây thực chất giống như một vấn đề kinh tế học.
Do đó, CertiK khuyến nghị người dùng rộng rãi, ngoài việc tăng cường kiểm tra rủi ro đối với dự án DeFi, luôn giám sát các lỗ hổng an ninh, khi cần thiết có thể nhờ công ty an ninh bên thứ ba hỗ trợ hoàn thành kiểm tra tấn công và triển khai phòng thủ an ninh toàn diện, giúp loại bỏ các vấn đề phát sinh từ bất kỳ nguyên nhân nào khác.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














