Được cung cấp bởi
Security

Mối đe dọa mới nhất đối với DeFi: Cách các nhóm thanh khoản độc hại đang đưa ra mức giá giả mạo nhằm lừa đảo người dùng Ethereum và Polygon

Công ty cơ sở hạ tầng DeFi Enso đã phát hiện ra một loại bể thanh khoản độc hại mới có tên gọi là “bể độc hại”. Khác với các hình thức khai thác lỗ hổng truyền thống nhằm đánh cắp tiền trực tiếp, các bể này thao túng các mô phỏng giao dịch.

TÁC GIẢ
CHIA SẺ
Mối đe dọa mới nhất đối với DeFi: Cách các nhóm thanh khoản độc hại đang đưa ra mức giá giả mạo nhằm lừa đảo người dùng Ethereum và Polygon

Điểm chính

  • Báo cáo ngày 16 tháng 7 của Enso đã vạch trần các "bể thanh khoản độc hại" giả mạo báo giá, gây ra thiệt hại hàng chục nghìn đô la trên một bể thanh khoản Curve.
  • Lỗ hổng này đe dọa các giao diện người dùng DeFi, với một hook độc hại trên Uniswap v4 gây ra tỷ lệ thất bại lên tới 99,1%.
  • Enso đã cập nhật sản phẩm Enso Shield để phát hiện các báo giá giả mạo trên 2 môi trường blockchain khác nhau.

Chiến thuật 'Jekyll và Hyde'

Theo nghiên cứu mới được công bố vào ngày 16 tháng 7 bởi công ty cơ sở hạ tầng DeFi Enso, một loại bể thanh khoản tài chính phi tập trung (DeFi) độc hại vừa được phát hiện đang nhắm vào cơ sở hạ tầng cốt lõi mà các nhà giao dịch tiền điện tử dựa vào để tìm kiếm mức giá tốt nhất.

Công ty gọi những thiết lập lừa đảo này là "bể thanh khoản độc hại". Khác với các vụ hack tiền điện tử thông thường nhằm rút tiền trực tiếp từ hợp đồng thông minh, các bể thanh khoản này được thiết kế để lừa dối các mô phỏng giao dịch một cách có hệ thống. Chúng trả về các báo giá hấp dẫn và cực kỳ cạnh tranh khi ví tiền điện tử hoặc công cụ tổng hợp sàn giao dịch phi tập trung (DEX) thực hiện mô phỏng, nhưng lại thay đổi hành vi ngay khi giao dịch thực sự được thực thi trên blockchain.

Kết quả là một hình thức rút tiền tinh vi và có hệ thống: các nhà giao dịch nhận được mức giá thực hiện kém hơn đáng kể so với mức giá được báo, hoặc giao dịch của họ thất bại, đồng thời tiêu tốn phí mạng trong quá trình đó.

"Cuộc điều tra của chúng tôi khiến chúng tôi tin rằng đây không chỉ đơn thuần là một vụ khai thác hợp đồng thông minh riêng lẻ," Milos Costantini, đồng sáng lập kiêm Giám đốc Sản phẩm tại Enso, cho biết. "Ngành công nghiệp đã dành nhiều năm để tối ưu hóa quá trình xác định giá. Những phát hiện của chúng tôi cho thấy thách thức tiếp theo là xác minh tính toàn vẹn của quá trình thực thi."

Theo báo cáo của Enso, các pool độc hại lợi dụng các mô phỏng “dry-run” ngoài chuỗi mà ví sử dụng để xem trước giao dịch. Các hợp đồng độc hại phát hiện khi chúng đang chạy trong môi trường mô phỏng chỉ đọc và trả về một mức giá được tối ưu hóa một cách giả tạo. Khi giao dịch thực sự được phát sóng trên chuỗi, nhóm thanh khoản sẽ thay đổi logic toán học để thực hiện giao dịch với tỷ giá thấp hơn.

Để tránh bị các hệ thống bảo mật phát hiện, các nhóm thanh khoản này luân phiên giữa trạng thái trung thực và trạng thái độc hại, khiến các công cụ quét mã tĩnh và bộ lọc danh tiếng dựa trên lịch sử trở nên vô hiệu. Thiết kế "mồi nhử và lừa đảo" này làm suy giảm trải nghiệm người dùng và làm cạn kiệt tiền của người dùng thông qua các giao dịch thất bại. Trong một nghiên cứu điển hình, một bể Curve bị thao túng đã gây ra hơn 37.000 giao dịch bị hủy, buộc người dùng phải tiêu tốn gần 30.000 USD phí gas.

Các kẻ tấn công cũng đang khai thác các kiến trúc sàn giao dịch mô-đun thế hệ mới. Trên Polygon, một "hook" độc hại — một plugin hợp đồng thông minh được sử dụng trên các nền tảng như Uniswap v4 — đã dụ dỗ các hệ thống định tuyến bằng tỷ giá giả mạo trước khi gây ra tỷ lệ thất bại giao dịch lên tới 99,1%.

Kết quả từ phân tích pháp y trên chuỗi

Nghiên cứu này, kéo dài khoảng hai tháng phân tích pháp y trên chuỗi, kết hợp dữ liệu lưu trữ từ các nút lịch sử, phân tích dấu vết giao dịch và kiểm tra hợp đồng thông minh. Các kỹ sư của Enso, với sự hỗ trợ từ các đối tác tại các giao thức DeFi lớn như Curve Finance và Oku, đã xác định được các bể thanh khoản độc hại đang hoạt động trên cả hai blockchain Ethereum và Polygon.

Trong một trường hợp nghiên cứu được ghi nhận trên Ethereum, một bể Curve bị thao túng đã xử lý hơn 129.000 giao dịch hoán đổi. Mặc dù bể này dường như là lộ trình tối ưu, nhưng nó lại mang lại kết quả thực hiện kém hơn so với mức giá được báo, dẫn đến việc báo giá bị thổi phồng khoảng 225.000 USD.

Hơn nữa, đội ngũ Enso đã phát hiện nhiều hợp đồng oracle blockchain được triển khai bởi cùng một nhà điều hành để hỗ trợ các bể giao dịch khác, cho thấy chiến thuật này có thể phổ biến hơn so với hai trường hợp được ghi nhận và có thể đại diện cho một mô hình mới nổi trong việc khai thác tài sản trên chuỗi.

Những phát hiện này đặt ra thách thức trực tiếp đối với lớp giao diện người dùng của hệ sinh thái DeFi. Các ví phổ biến, giao diện dành cho người dùng và các nền tảng tổng hợp phụ thuộc rất nhiều vào các mô phỏng tự động để đảm bảo “lộ trình tốt nhất” cho giao dịch của người dùng.

Báo cáo của Enso nhấn mạnh rằng nếu cơ sở hạ tầng định tuyến không thể phân biệt giữa báo giá hợp lệ và báo giá bị thao túng, các giao diện người dùng sẽ tiếp tục dẫn dắt người dùng vào những cái bẫy này. Điều này tạo ra rủi ro pháp lý và tài chính tiềm ẩn cho các nhà cung cấp ví và nhà điều hành giao diện, những người hứa hẹn “thực thi tốt nhất” nhưng lại thường xuyên cung cấp các lộ trình độc hại.

Để ứng phó với mối đe dọa này, Enso đã công bố cập nhật sản phẩm bảo vệ thực thi giao dịch của mình, Enso Shield, để tích hợp tính năng phát hiện các nhóm thanh khoản độc hại chuyên dụng. Công cụ bảo mật này được thiết kế để vượt qua các phương pháp mô phỏng tiêu chuẩn bằng cách phân tích bối cảnh trên chuỗi thời gian thực, theo dõi lịch sử báo giá và sử dụng dấu vết giao dịch để phát hiện các sai lệch trong quá trình thực thi.

Thay vì đổ lỗi cho từng sàn giao dịch phi tập trung riêng lẻ, Enso đã kêu gọi toàn ngành tiền điện tử tiến hành nghiên cứu sâu hơn về việc thao túng các mô phỏng giao dịch.

"Nếu các mô phỏng giao dịch có thể bị thao túng trong khi kết quả thực thi thực tế lại cho thấy một bức tranh khác," Costantini nói, "chúng ta cần những phương pháp tốt hơn để xác minh những gì người dùng thực sự nhận được."

Bài viết này được dịch từ tiếng Anh bằng AI. Phiên bản gốc bằng tiếng Anh là nguồn có thẩm quyền; các bản dịch tự động có thể chứa thông tin không chính xác, đặc biệt là trong thuật ngữ pháp lý và quy định.

Thẻ trong bài viết này