Compound Finance chỉ là một trong những nạn nhân mới nhất của sự cố hack DeFi vào năm 2021. Vào ngày 30 tháng 9, lỗi phân bổ token trong đề xuất 062 đã bị lộ dẫn đến thiệt hại 70 – 85 triệu USD vì phân bổ thừa token COMP cho người dùng. 

Tuy nhiên, thêm 65 triệu đô la đã được đặt trong một vault dễ bị tấn công vài ngày sau đó, dẫn đến ít nhất 150 triệu đô token COMP có nguy cơ thiệt hại. Mặc dù Compound có thể khắc phục toàn bộ tình hình, điều đó vẫn cho thấy DeFi dễ bị tấn công như thế nào do tính sơ khai của nó.

Năm ngoái, tổng TVL trong Defi chỉ bằng 5% của giá trị hiện tại – 255 tỷ $. Sự thay đổi này đánh dấu mức tăng trưởng bùng nổ 1686%. Ngay cả với sự cố Compound và gần đây nhất là BXH, nền tảng giao dịch phi tập trung bị thiệt hại 139 triệu đô la từ một cuộc tấn công do rò rỉ admin key, TVL vẫn tăng trong tháng trước với 14,27%.

Một lý do tại sao các nhà đầu tư đã đổ xô vào các giao thức DeFi là để tìm kiếm lợi nhuận cao hơn. Lãi suất chạm đáy vào năm 2020 thiếu một khuôn khổ rõ ràng để tăng trưởng và điều đó khiến các nhà đầu tư phải tìm kiếm các cách khác để tận tối ưu nguồn tiền mặt của họ. Khóa tài sản crypto vào các giao thức DeFi và cung cấp tính thanh khoản cho các dịch vụ như vậy đã trở thành một lựa chọn hấp dẫn, vì nó mang lại lợi nhuận hấp dẫn hơn. Điều xảy ra sau đó là sự bùng nổ năng suất farming vào năm 2020 và duy trì sự thịnh hành cho đến năm nay.

Thống kê các sự cố

Việc DeFi ngày càng trở nên phổ biến là một con dao hai lưỡi đối với lĩnh vực non trẻ này và toàn bộ không gian tcrypto nói chung. Kể từ năm 2012, 534 sự cố hack blockchain đã diễn ra với 169 sự kiện diễn ra chỉ tính riêng trong năm 2021, theo công ty an ninh mạng Slow Mist của Trung Quốc. Tin tặc ngày càng tinh vi và nhắm vào các lĩnh vực khác nhau trong không gian crypto.

Tuy nhiên, vụ hack lớn nhất từng xảy ra vào năm 2021 và được thực hiện bởi một hacker vô danh trên giao thức chuỗi chéo Poly Network. Kết quả là số token tương đương 610 triệu đô la bị đánh cắp, vượt trên khoản lỗ của MtGox và Coincheck. Cuộc tấn công đã bỏ túi khoảng 273 triệu đô từ Ethereum, 85 triệu USDC từ mạng Polygon và 253 triệu đô từ Binance Smart Chain. Nó cũng loại bỏ một lượng lớn renBTC, wBTC và wETH.

Sự cố xảy ra với Poly Network là một trong nhiều trường hợp hack DeFi vào năm 2021. Poly Network đã may mắn thu hồi được toàn bộ số tiền. Mặt khác, Cream Finance lại không may mắn như vậy. Giao thức cho vay phi tập trung đối mặt với các cuộc tấn công hai lần trong năm nay, đã quét sạch gần 150 triệu đô la và giờ nó vẫn đang cố gắng để phục hồi. Nhìn chung, tổng số tiền bị mất do hack blockchain trong năm nay là gần 7 tỷ đô la, tăng 2,5 tỷ đô la so với năm ngoái.

Các cuộc audit là cần thiết

Poly Network, Compound và Cream Finance đã lọt vào top ba giao thức bị ảnh hưởng (tổng cộng 906 triệu đô la). Giống như Cream Finance, cũng có những giao thức đáng chú ý khác bị tấn công nhiều hơn một lần trong cùng một năm, như THORChain và Value DeFi.

Ngoài ra, mặc dù bị thiệt hại 1,5 triệu đô la, số tiền không đáng kể so với những nạn nhân còn lại, Merlin Labs, một yield aggregator được xây dựng trên BSC, đã bị tấn công ba lần,  ban đầu là hai lần trong cùng một tuần và một lần nữa một tháng sau đó. Hơn nữa, điều đáng ngạc nhiên là nó đã được audit bởi Hacken 11 ngày trước cuộc tấn công.

Các chuyên gia bảo mật khuyến nghị rằng hợp đồng thông minh phải được audit, thường là bởi các auditor độc lập. Việc audit có thể giúp phát hiện và có thể sửa chữa các lỗ hổng thông minh trong mã và kiểm tra độ tin cậy của các tương tác của hợp đồng thông minh. 

Giám đốc điều hành Kava Labs Brian Kerr nói với Cointelegraph vào tháng 5/2020 rằng điều quan trọng đối với bất kỳ ai muốn sử dụng giao thức DeFi trước tiên là kiểm tra các cuộc đánh giá và đánh giá ngang hàng . Nhưng ngay cả khi đó, ông vẫn cảnh báo những rủi ro liên quan đến kỹ thuật và thị trường vì lĩnh vực này vẫn còn mới.

Trong số các dự án trở thành nạn nhân của các cuộc tấn công trong năm nay, chỉ có khoảng 15 trong số 40 giao thức DeFi bị ảnh hưởng đã được audit. Nhưng điều đáng chú ý là số tiền bị ảnh hưởng cho các giao thức được audit ít hơn đáng kể so với những giao thức không được audit. Đối với mỗi công ty được audit, số thiệt hại ít hơn gần 60% so với các công ty không được audit. Nhìn chung, 20,3% số tiền bị ảnh hưởng trong tất cả các giao thức bị tấn công trong năm nay là từ các giao thức đã được audit, trong khi 79,67% hoặc khoảng 1,3 tỷ USD là từ các giao thức chưa được audit.

Bốn lý do chính khiến các giao thức DeFi bị tấn công bao gồm lỗi coding, sự kém cỏi của nhà phát triển, sử dụng sai giao thức của bên thứ ba và lỗi business logic. Phổ biến nhất trong số này và có thể nguy hiểm nhất là sự kém cỏi của nhà phát triển, đây cũng là hậu quả trực tiếp của những sai lầm khi coding. Các nhà phát triển không đủ năng lực vội vàng khởi chạy một dự án mà không có sự kiểm tra nghiêm ngặt của bên thứ ba có thể dẫn đến các giao thức dễ bị lợi dụng hơn.

Đây là lý do tại sao có sự thúc đẩy biện pháp bổ sung trong việc cải thiện các giao thức bảo mật trong ngành. Audit, đặc biệt là audit bảo mật hợp đồng thông minh và audit thứ cấp, chỉ là hai cách để đạt được điều này. Như Kerr đã nói, việc phân tích và kiểm tra kỹ thuật kỹ lưỡng đối với giao thức Defi cần được đảm bảo trước khi đầu tư. 

Tuy nhiên, điểm tích cực là những vụ hack này có thể là yếu tố cần thiết trong việc phát triển lĩnh vực DeFi. Nhà phân tích tài chính John Jefferies của CipherTrace đã nói với Cointelegraph vào tháng 8 rằng những vụ hack như vậy sẽ làm tăng tốc độ KYC, thủ tục chấp nhận, đặc biệt là với các sàn DEX, vì nó có thể rất quan trọng trong việc nhận được sự chấp thuận theo quy định.

Khi DeFi trưởng thành, đặc biệt là với sự ra đời của các blockchain layer 1 cạnh tranh với Ethereum, các vụ hack vào cuối năm có lẽ chỉ là phần nổi của tảng băng chìm và các giao thức được thiết kế kém và không được audit có thể gặp phải cả đống rắc rối.