Vụ khai thác Yearn Finance báo hiệu rủi ro DeFi cố hữu

Tóm tắt điều hành

Yearn Finance đã tiết lộ một lỗ hổng bảo mật đáng kể dẫn đến thiệt hại 9 triệu đô la từ kho tiền yETH của mình. Vụ khai thác không phải là kết quả của một cuộc tấn công đơn giản mà bắt nguồn từ một "lỗi số đa giai đoạn" và việc sử dụng "toán học không an toàn" trong các hợp đồng thông minh của giao thức. Mặc dù báo cáo cho biết một phần số tiền đang được phục hồi và một kế hoạch khắc phục đã được vạch ra, sự cố này một lần nữa nhắc nhở rõ ràng về những rủi ro kỹ thuật cố hữu trong hệ sinh thái tài chính phi tập trung (DeFi). Nó phơi bày một sự chia rẽ quan trọng giữa việc phát triển nhanh chóng, theo định hướng tính năng phổ biến trong DeFi và các nguyên tắc kỹ thuật nghiêm ngặt, tập trung vào an toàn cần thiết để xây dựng cơ sở hạ tầng tài chính quan trọng.

Chi tiết sự kiện

Cuộc tấn công vào kho tiền yETH rất tinh vi, khai thác những lỗ hổng tinh tế trong logic toán học của hợp đồng thông minh. Theo tiết lộ của dự án, lỗ hổng này đã cho phép kẻ tấn công thao túng các phép tính toán học qua nhiều bước để đúc một lượng lớn yETH một cách bất hợp pháp, sau đó được đổi lấy các tài sản khác. Loại lỗ hổng này đặc biệt nguy hiểm vì nó bỏ qua các biện pháp bảo mật kiểm soát truy cập truyền thống và thay vào đó nhắm vào logic kinh doanh cơ bản của giao thức.

Sự cố này đối lập gay gắt với các tiêu chuẩn mã hóa được áp dụng trong các lĩnh vực rủi ro cao khác. Chẳng hạn, tiêu chuẩn mã hóa C++ cho máy bay chiến đấu F-35 cấm rõ ràng việc cấp phát bộ nhớ động, đệ quy và ngoại lệ. Những quy tắc này được thiết kế để tạo ra một hệ thống hoàn toàn có tính xác định và có thể kiểm toán, nơi các hành vi không thể đoán trước được giảm thiểu. Vụ khai thác Yearn, bắt nguồn từ "toán học không an toàn", chính xác là loại kết quả không thể đoán trước mà các tiêu chuẩn nghiêm ngặt đó được thiết kế để ngăn chặn, làm nổi bật khoảng cách về văn hóa và quy trình trong phát triển DeFi.

Ảnh hưởng thị trường

Tác động trước mắt là một đòn giáng vào danh tiếng của Yearn Finance và có khả năng gây áp lực giảm giá lên token quản trị của nó, YFI. Nó làm xói mòn niềm tin của người dùng vào sản phẩm yETH, được thiết kế để trở thành một sản phẩm phái sinh staking thanh khoản tạo ra lợi nhuận. Rộng hơn, sự kiện này gửi một tín hiệu tiêu cực trên toàn bộ bối cảnh DeFi. Nó củng cố quan điểm rằng nhiều giao thức, bất chấp tiềm năng đổi mới của chúng, thiếu sự trưởng thành về hoạt động và sự chặt chẽ về bảo mật của các hệ thống tài chính truyền thống.

Điều này có thể kích hoạt một cuộc di cư đến chất lượng, nơi thanh khoản và người dùng đổ xô đến các giao thức đầu tư mạnh vào bảo mật, nhiều cuộc kiểm toán độc lập và xác minh chính thức. Các dự án quảng bá thông tin bảo mật của họ, chẳng hạn như giao thức Mutuum Finance mới nổi đang được kiểm toán bởi cả CertiK và Halborn, có thể thấy thông điệp của họ gây được tiếng vang mạnh mẽ hơn trong một thị trường ngại rủi ro.

Bình luận của chuyên gia

Mặc dù chưa có chuyên gia nào trực tiếp bình luận về vụ khai thác cụ thể này, sự cố này phù hợp với những lo ngại rộng hơn được các chuyên gia an ninh mạng nêu ra về các hệ thống tự động. Nhà nghiên cứu bảo mật Amanda Rousseau, bình luận về các lỗ hổng trong các tác nhân trình duyệt AI, lưu ý, “Đừng chỉ bảo vệ mô hình. Bảo vệ tác nhân, các kết nối của nó và các hướng dẫn ngôn ngữ tự nhiên mà nó âm thầm tuân theo.” Nguyên tắc này áp dụng trực tiếp cho DeFi: bảo mật hợp đồng thông minh là chưa đủ; logic tài chính và toán học cơ bản phải hoàn hảo.

Sự đồng thuận ngày càng tăng giữa các Giám đốc An ninh Thông tin (CISO) là áp dụng lập trường "an ninh tấn công" chủ động hơn. Như Dan Mellen, CTO mạng toàn cầu tại EY, tuyên bố, điều này liên quan đến "việc xác định và khai thác các lỗ hổng trước khi đối thủ thực hiện." Đối với các giao thức DeFi, điều này cho thấy cần phải vượt ra ngoài các cuộc kiểm toán tiêu chuẩn và kết hợp kiểm tra căng thẳng đối kháng, liên tục các mô hình kinh tế và toán học của họ để khám phá các khai thác phức tạp như vụ tấn công Yearn.

Bối cảnh rộng hơn

Vụ khai thác Yearn Finance là một nghiên cứu điển hình về rủi ro khi xây dựng các hệ thống tài chính phức tạp trên công nghệ non trẻ mà không có văn hóa kỹ thuật trưởng thành. Triết lý "di chuyển nhanh và phá vỡ mọi thứ" của DeFi về cơ bản mâu thuẫn với các nguyên tắc quản lý tài chính. Các cuộc thảo luận giữa các kỹ sư xây dựng phần mềm quan trọng cho hàng không vũ trụ, những người cấm toàn bộ các tập hợp tính năng của ngôn ngữ lập trình để đảm bảo khả năng dự đoán, cung cấp một lộ trình cho cách DeFi phải phát triển.

Khả năng tồn tại lâu dài của ngành phụ thuộc vào khả năng áp dụng một cách tiếp cận kỷ luật hơn. Điều này bao gồm việc áp dụng các tiêu chuẩn mã hóa nghiêm ngặt hơn, đầu tư vào xác minh hình thức để chứng minh tính đúng đắn của hợp đồng một cách toán học và nuôi dưỡng một văn hóa phát triển nơi bảo mật và khả năng dự đoán được ưu tiên hơn tốc độ và tăng trưởng ngắn hạn. Cho đến lúc đó, các nhà đầu tư phải coi lợi nhuận cao do nhiều giao thức cung cấp là khoản bồi thường cho việc chịu rủi ro kỹ thuật đáng kể và thường không thể định lượng được.