Dạo gần đây, anh em chứng kiến hàng loạt vụ tấn công xảy ra trên những dự án của Binance Smart Chain và được gọi với cái tên mĩ miều là “Flash Loan Attack“. Hôm nay, mình sẽ cùng anh em tìm hiểu một vài khái niệm cơ bản của vấn đề này.
Flash Loan là gì?
Flash Loan là hình thức thực hiện một khoản vay nhanh (là dạng vay và trả lại tài sản vay chỉ trong một giao dịch, không cần tài sản thế chấp).
Mục đích chính của hình thức này nhằm kiếm được lợi nhuận từ việc chênh lệch giá.
Flash loan nếu diễn ra đúng theo ý nghĩa của nó thì là một cách kiếm lợi nhuận rất bình thường từ sự chênh lệch giá (tương tự như cách bạn mua thấp bán cao).
Flash Loan Attacks là gì?
Flash Loan Attacks là những cuộc tấn công lợi dụng hình thức cho vay nhanh nói trên và những lỗ hổng trong giao thức để trục lợi cho cá nhân.
Nguyên lý của Flash Loan Attacks
Như mình đã nói ở trên, flash loan kiếm được lợi nhuận bằng chênh lệch giá. Tuy nhiên, tụi tấn công thì không chỉ dùng chênh lệch giá tự nhiên mà lợi dụng các lỗ hổng trong các giao thức để tự tạo ra sự chênh lệch.
Ví dụ:
Cuộc tấn công vào PancakeBunny
- Đầu tiên, thèn tấn công add 1 lượng tài sản vô Vault WBNB-USDT trên Bunny.
- Tiếp theo, mượn 2.3M BNB (xấp xỉ 704M USD) từ PancakeSwap Pools và 2.9M USDT từ Fortube Bank (bắt đầu dùng flashloan từ đây).
- Tiếp theo, add 7,7K BNB và 2.9M USDT liquidity vào pool USDT-WBNB, để lại LP token trong pool.
- Tiếp, swap 2.3M BNB thành USDT tại pool này.
- Sử dụng tài sản add tại bước 1 để mint ra 7M Bunny (tương đương 1B USD). Sở dĩ nó mint được vì sau khi swap 2.3M BNB thành USDT tại Pool này, nó đã làm giá BNB bị chênh lệch (tăng lên), kết hợp với lượng LP Token nó add tại bước 3 khiến giao thức Bunny hiểu rằng thèng này add lượng BNB có giá trị đủ lớn để mint 7M Bunny và cho mint.
- Xả Bunny, thu lại BNB, trả flash loan, ăn phần lời. Done.
Tóm lại, key chính của lần tấn công này là thao túng giá BUNNY thơi điểm mint.
Nhận xét
Flash loan – bản thân nó hiện tại mình thấy không có nhiều không gian phát triển tại crypto. Chủ yếu món này dành cho dân chuyên nghiệp, tính toán và dùng các phần mềm hỗ trợ nhằm kiếm lợi nhuận là chính, còn lại user bình thường ít ai dùng.
Anh em nếu muốn hình dung rõ hơn hoặc tự tay tạo ra flash loan có thể trải nghiệm thử DApp Furucombo (biết đâu lại có anh em hack đc dự án nào :v fun thôi nhé).
Flash loan attacks xuất hiện ngày một nhiều cho thấy các dự án hiện nay không chú trọng khâu bảo mật, hoàn thiện sản phẩm mà chỉ copy paster chạy theo thị trường, cũng là hồi chuông cảnh báo cho cả dev và users khi tham gia vào DeFi dù ở vai trò nào.