Nội dung
Flash Loan Attack là gì? Tìm hiểu chi tiết về Flash Loan Attack
Flash Loan Attack là gì? Tìm hiểu chi tiết về Flash Loan Attack
Trong bài viết này, Coinvn sẽ cùng bạn tìm hiểu chi tiết Flash Loan Attack là gì cũng như cách thức hoạt động và cách ngăn chặn các cuộc tấn công Flash Loan.
15784Total views
Flash Loan Attack là gì? Tìm hiểu chi tiết về Flash Loan Attack
Flash Loan là gì?
Sự phát triển của thị trường tài chính phi tập trung (DeFi) đã làm thay đổi cách mọi người sử dụng tiền mã hóa, nhất là trong hoạt động cho vay. Lúc này, các khoản vay sẽ trở nên hấp dẫn bởi hoạt động này cung cấp rất nhiều các giá trị và lợi ích cho cả người đi vay và người cho vay.
Và Flash Loan là một trong những hình thức cho vay phổ biến. Thuật ngữ Flash Loan (khoản vay nhanh) mô tả một tính năng cho phép nhà đầu tư vay tiền mà không cần tài sản thế chấp, nhưng họ phải trả số tiền đã vay trong cùng một giao dịch duy nhất trên blockchain. Điều đó có nghĩa là người vay phải hành động nhanh chóng và hoàn trả lại khoản vay trong thời gian ngắn. Còn nếu người cho vay vỡ nợ thì toàn bộ giao dịch sẽ bị hủy bỏ như thể không có chuyện gì xảy ra.
Điều này hoàn toàn trái ngược với các khoản vay khác trên cả thị trường tiền mã hóa và thị trường tài chính truyền thống, bởi bạn sẽ phải sử dụng đến tài sản thế chấp. Với Flash Loan, quá trình vay và cho vay được tự động hóa và khi mọi thứ diễn ra thuận lợi, cả người cho vay và người đi vay đều được hưởng lợi từ khoản vay. Còn ngược lại, nếu có sai sót, toàn bộ giao dịch sẽ bị hủy và không có lợi nhuận cho cả hai bên.
Flash Loan Attack là gì?
Flash Loan Attack là một cuộc tấn công cho vay nhanh, trong đó, kẻ tấn công lợi dụng lỗ hổng bảo mật của hợp đồng thông minh của một nền tảng cụ thể để vay rất nhiều tiền mà không cần sử dụng tài sản thế chấp. Sau đó, kẻ tấn công tháo túng giá của một tài sản trên một sàn giao dịch và nhanh chóng bán lại tài sản đó trên một sàn giao dịch khác.
Quá trình này diễn ra nhanh chóng và kẻ tấn công lặp lại quá trình này rất nhiều lần trước khi kết thúc và bỏ đi mà không để lại bất kỳ dấu vết nào.
Flash Loan Attack là loại hình tấn công phổ biến nhất trong không gian DeFi. Bởi hình thức tấn công này rẻ và dễ dàng thực hiện. Vì vậy, kể từ khi thị trường tài chính phi tập trung phát triển, các hình thức Flash Loan Attack liên tục diễn ra, nhất là trong giai đoạn năm 2021.
Cơ chế hoạt động của Flash Loan Attack
Như đã phân tích ở trên, đối với các khoản vay nhanh thì tiền sẽ được trả lại nhanh chóng để đảm bảo các hành động đều được thực hiện trong cùng một giao dịch duy nhất. Hợp đồng thông minh sẽ đặt ra các điều khoản và cho phép bạn vay ngay lập tức khi nhận được yêu cầu.
Tiếp theo, bạn sẽ thực hiện thao túng giá của tài sản đó rồi bán chúng trên một sàn giao dịch khác với giá trị cao hơn. Sau đó, bạn hoàn trả khoản vay và bỏ túi phần chênh lệch. Do vậy mà Flash Loan Attack còn được gọi là cuộc tấn công dựa trên chênh lệch giá.
Lý do Flash Loan Attack lại phổ biến trong DeFi?
Flash Loan Attack là một trong những hình thức tấn công phổ biến nhất trong thị trường tài chính phi tập trung. Bởi, hình thức tấn công này thường có chi phí thấp, phần thưởng cao và đặc biệt là rủi ro thấp.
Flash Loan Attack có chi phí thấp
Các cuộc tấn công thông thường sẽ cần sử dụng đến rất nhiều nguồn lực khác nhau, bao gồm tài chính, nhân lực, thiết bị công nghệ cao… Tuy nhiên, với Flash Loan Attack, các hacker chỉ cần một máy tính có kết nối Internet, sự khôn khéo và một chút hiểu biết về cách thức vận hành các giao dịch trong nền tảng.
Flash Loan Attack có rủi ro thấp
Những cuộc tấn công cho vay nhanh thường không để lại dấu vết nên rất khó để truy vết kẻ tấn công, nhất là trong thị trường Crypto. Hơn nữa, bản chất của Flash Loan Attack là dựa trên cơ chế chênh lệch giá giữa các sàn giao dịch và các hacker đã thực hiện khôn khéo các giao dịch để thu lợi bất chính nên rủi ro của hình thức tấn công này rất thấp.
Các cuộc Flash Loan Attack nổi bật nhất hiện nay
Cream Finance
Cream Finance là một giao thức cho vay phi tập trung được phát triển trên blockchain Ethereum. Vào ngày 27/10/2021, Cream Finance đã bị tấn công cho vay nhanh (Flash Loan Attack) với tổng giá trị thiệt hại lên đến 130 triệu USD. Được biết, các khoản tiền bị đánh cắp chủ yếu là token CREAM và các mã token theo tiêu chuẩn ERC20 khác. Nhờ có sự hỗ trợ của đội ngũ Yearn Finance mà nền tảng này đã nhanh chóng vá được lỗ hổng bảo mật.
Pancake Bunny
Pancake Bunny là giao thức tài chính phi tập trung phổ biến trên Binance Smart Chain. Vào tháng 05/2021, nền tảng này đã bị các hacker “ghé thăm” và đánh cắp tài sản với tổng thiệt hại lên đến 200 triệu USD. Đáng chú ý, phương thức mà những kẻ tấn công sử dụng là Flash Loan Attack.
Cụ thể, các hacker tấn công vào nhóm thanh khoản BUNNY/BNB và USDT/BNB bằng cách vay một lượng lớn BUNNY để đẩy giá của token này từ 150 USD lên 240 USD. Chỉ sau đó 30 phút, kẻ tấn công đã “xả” để giá BUNNY giảm mạnh. Tiếp đó, hacker rút sạch 697.000 BUNNY và 114.000 BNB với giá trị ước tính tại thời điểm đó là 200 triệu USD.
bZx
Tháng 02/2020, giao thức Lending phi tập trung bZx đã bị hacker tấn công và đánh cắp 2.388 ETH (tương đương 645 nghìn USD tại thời điểm đó).
Cụ thể, hacker đã thực hiện một khoản vay nhanh 7.500 ETH. Đầu tiên, kẻ tấn công mua 3.518 ETH bằng sUSD với giá gần 1 USD sau đó gửi vào bZx làm tài sản thế chấp. Tiếp theo, hacker dùng 900 ETH để mua sUSD trên Kyber và Uniswap rồi thao túng giá sUSD lên hơn 2 USD. Với tài sản thế chấp này, hacker tiếp tục vay thêm 6.796 ETH trên bZx và sử dụng số dư ETH còn lại để trả khoản vay nhanh ban đầu. Như vậy, sau một chuỗi các thao tác, kẻ tấn công đã “bỏ túi” 2.388 ETH.
Làm sao để ngăn chặn Flash Loan Attack
Cho đến thời điểm hiện tại chưa có một biện pháp thật sự hiệu quả để ngăn chặn hoàn toàn các cuộc tấn công cho vay nhanh. Tuy nhiên, một số giải pháp đang cho thấy những giá trị cụ thể để ngăn chặn Flash Loan Attack.
Sử dụng các Oracle
Mấu chốt quan trọng của các cuộc tấn công cho vay nhanh là cơ chế thao túng giá tài sản. Vì vậy, các giao thức DeFi có thể cân nhắc việc sử dụng các giải pháp định giá phi tập trung (như Chainlink hay Band Protocol) thay vì dựa vào một sàn DEX đơn lẻ cho nguồn cung cấp dữ liệu giá. Các nền tảng Oracle giữ cho tất cả các giao thức được an toàn bằng cách đưa ra mức giá chính xác của các loại tiền mã hóa khác nhau.
Triển khai nền tảng bảo mật DeFi
Bảo mật là một trong những vấn đề quan trọng cần được quan tâm, nhất là đối với các dự án DeFi. Hiện nay, OpenZeppelin đã khởi chạy một chương trình có tên OpenZeppelin Defender cho phép các nhà phát triển dự án phát hiện các hoạt động khai thác hợp đồng thông minh bất thường trên nền tảng. Từ đó, các nhà phát triển có thể nhanh chóng vô hiệu hóa cuộc tấn công của các hacker và thu hẹp thiệt hại của vụ tấn công.
Ngoài ra, với OpenZeppelin Defender, các nhà phát triển có thể sử dụng để tự động hóa các chiến lược phòng thủ hay nhanh chóng tạm dừng toàn bộ hệ thống và triển khai các bản sửa lỗi khi cần thiết.
Các giao dịch phải được thực hiện qua hai block
Cuối cùng, một giải pháp được đề xuất để ngăn chặn Flash Loan Attack đó là buộc các giao dịch vay nhanh phải đi qua hai block thay vì một block như thông thường. Tuy nhiên, đây không phải là một giải pháp hoàn hảo vì nếu không được thiết kế chính xác, các hacker có thể tấn công đồng thời cả hai block và gây tổn hại nặng nề hơn. Hơn nữa, giải pháp này có thể ảnh hưởng đáng kể đến giao diện người dùng của các giao thức DeFi vì các giao dịch sẽ không còn đồng bộ nữa.
Tổng kết
Trên đây là toàn bộ các thông tin cơ bản và hữu ích để bạn trả lời câu hỏi Flash Loan Attack là gì cũng như cách thức để ngăn chặn hình thức tấn công này. Khi thị trường tài chính phi tập trung ngày càng phát triển thì các vụ tấn công sẽ liên tiếp được thực hiện dựa trên những lỗ hổng bảo mật của nền tảng cũng như sự thiếu hiểu biết của nhà đầu tư. Do vậy, bạn cần chuẩn bị đầy đủ các kiến thức để đảm bảo an toàn giá trị tài sản của mình khi thực hiện các giao dịch trên thị trường Crypto.
Kiến thức