Giới thiệu
Tiết lộ: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ thuộc về tác giả và không đại diện cho quan điểm của biên tập viên của crypto.news.
Cuộc tấn công mới vào DeFi
Ngành tài chính phi tập trung (DeFi) đang phải đối mặt với một làn sóng tấn công mới – nhưng không phải từ những mối đe dọa mà ngành công nghiệp này thường quen thuộc. Trong khi các nhà phát triển cẩn trọng quét từng dòng mã để phát hiện lỗ hổng, thì những kẻ tấn công lại điều chỉnh chiến thuật của họ, khai thác các điểm yếu về kinh tế mà không ai nhận thấy bên dưới lớp mã lập trình hoàn hảo.
Các cuộc tấn công kinh tế điển hình
Chẳng hạn, cuộc tấn công nhằm vào token JELLY trên Hyperledger đã chứng minh điều này, khi các kẻ tấn công đã siphon hơn 6 triệu đô la từ quỹ bảo hiểm của Hyperledger. Cuộc khai thác này không xuất phát từ lỗi mã mà từ những động lực thị trường không được dự đoán và các rủi ro không được tính toán.
Mặc dù DeFi đã đạt được nhiều tiến bộ trong lĩnh vực an ninh mạng và kiểm toán hợp đồng thông minh, nhưng chúng ta cần mở rộng phạm vi kiểm toán này ra ngoài mã lập trình đơn thuần. Kiểm toán hợp đồng thông minh sẽ mãi mãi thiếu sót trừ khi nó cũng xem xét các rủi ro kinh tế và lý thuyết trò chơi.
Sự phụ thuộc quá mức của ngành công nghiệp vào những cuộc kiểm toán chỉ nhìn vào mã đã trở nên lỗi thời và nguy hiểm, khiến cho các dự án dễ bị tổn thương trước một chu kỳ tấn công không ngừng.
Sự không hoàn hảo trong thiết kế
Vào tháng 3 năm 2025, sàn giao dịch Hyperliquid, dù đã được kiểm toán hợp đồng, cũng đã bị tấn công với cú khai thác trị giá 6 triệu đô la liên quan đến token JELLY của nó. Sự việc xảy ra không phải vì các lỗi trong mã; các kẻ tấn công đã thiết kế một cú squeeze ngắn hạn bằng cách lạm dụng logic thanh lý của Hyperliquid, đẩy giá JELLY lên cao và thao túng các tham số rủi ro của nền tảng.
Điều này cho thấy rằng các nhà thiết kế của Hyperliquid đã không tính toán một số hành vi trên thị trường, đây là một thiếu sót mà các cuộc kiểm toán truyền thống không thể phát hiện.
Mô hình tấn công đang phát triển
Những cuộc tấn công này không phải là sự kiện đơn lẻ; chúng là một phần của mô hình đang phát triển trong DeFi. Trong mỗi trường hợp, những kẻ tấn công tinh vi đã khai thác các giao thức bằng cách thao túng các yếu tố đầu vào thị trường, động lực, hoặc cơ chế quản trị để kích hoạt những kết quả mà các nhà phát triển không ngờ tới.
Các cuộc kiểm toán truyền thống chỉ kiểm tra xem “mã có thực hiện đúng những gì nó cần làm không”, nhưng ai kiểm tra xem “những gì nó cần làm” có hợp lý trong điều kiện kháng cự không?
Cần thay đổi trong quy trình kiểm toán
Các cuộc kiểm toán thực sự khắt khe cần bao gồm phân tích lý thuyết trò chơi và kinh tế, điều này đòi hỏi xem xét các cơ chế phí, công thức thanh lý, các tham số tài sản thế chấp, và các quy trình quản trị.
Các khai thác kinh tế này đã được ghi chép rõ ràng và không khó để phát hiện – nhưng chúng chỉ nổi bật khi các kiểm toán viên đặt ra những câu hỏi đúng và suy nghĩ vượt ra ngoài mã lập trình.
Kết luận
Chi phí của những điểm mù này đơn giản là quá cao – việc tích hợp phân tích kinh tế và lý thuyết trò chơi không chỉ là “điều tốt để có”; đó là một vấn đề sinh tồn cho các dự án DeFi. Chúng ta cần phát triển một văn hóa mà trong đó việc kiểm tra mã và đánh giá kinh tế đi đôi với nhau cho mọi giao thức lớn.
Hãy nâng cao tiêu chuẩn ngay bây giờ – trước khi một bài học triệu đô khác buộc chúng ta phải hành động.
