Rug-pull, Exploit – Vùng đất tối của thế giới Crypto

Rug-pull & Exploit – Gốc khuất nghiệt ngã của thế giới Crypto

Bài viết chia sẻ về thực trạng của Crypto hiện nay, một góc khuất u ám đầy nghiệt ngã với những vụ Rug-pull & Exploit.

  • Pickle Finance thiệt hại $19.7M.
  • Alpha & Cream Finance thiệt hại $37.5M.
  • Paid Network thiệt hại $27M.
  • EasyFi thiệt hại $59M.
  • …..

Ngày 10/08, Poly Network với tổng thiệt hại lên tới 611 triệu đô, trở thành vụ hack DeFi lớn nhất từ trước đến nay (mặc dù kẻ tấn công đang hoàn trả dần lại số tài sản đó cho Poly Network) và mới nhất là dự án Dao Maker bị tấn công vào ngày 12/08 với thiệt hại 7 triệu đô.

Theo thông báo số tiền bị đánh cắp được gửi vào các ví: Ethereum, Binance Smart Chain và Polygon. Đó là:

ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963

BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71

Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214

Phía sau những điều được xem là tuyệt vời chói loà, những cơ hội đổi đời trong những điều phù phiếm trong thế giới Crypto khi chúng ta chỉ nhìn bằng mắt thì phía sau đó là những góc khuất u tối nghiệt ngã mà đôi lần chúng ta phải gặp phải những tên “Nguỵ Quân Tử” đầy giã tâm đang muốn hãm hại chúng ta. Và trong Crypto gọi là Rug-Pull, và sau đây chúng ta sẽ hiểu sâu hơn về những sự đáng sợ và cách tránh khỏi những góc khuất nghiệt ngã “hại người” này. 

Những thuật ngữ quan trọng

Exploited

Exploited là thuật ngữ ám chỉ cho việc kẻ xấu lợi dụng những lỗ hổng, lỗi trong Smart Contract để thực hiện các vụ tấn công vào Platform nhằm chiếm đoạt tài sản người dùng.

Rug Pull

Rug Pull dùng để nói về việc nhà phát triển bỏ rơi dự án của mình và “cao chạy xa bay” với số vốn của nhà đầu tư.

Dù có khác nhau về bản chất nhưng cuối cùng, bên chịu thiệt hại lớn nhất vẫn thuộc về phía người dùng.

“Một điều khá buồn cười là hầu hết mọi người chỉ quan tâm đến lợi nhuận mà họ CÓ THỂ đạt được, chứ không quan tâm đến RỦI RO mà họ có thể gặp phải”.

Kẻ săn mồi hay trở thành kẻ bị săn?

“Trong một lúc, Token X pump rất mạnh, phút tiếp theo mọi thứ sụp đổ. Nhóm Telegram với những thành viên tích cực, sôi nổi và luôn mở miệng x10, x100 bỗng nhiên tĩnh lặng. Admin khóa chat và cuối cùng xóa kênh, trang Twitter với hàng chục nghìn người theo dõi cũng biến mất theo.”

“Bãi farm A có APY hàng trăm nghìn %, cho vào một chút thì chẳng mấy chốc lấy lại được vốn”. Hàng nghìn người có suy nghĩ như vậy khiến TVL dự án tăng chóng mặt và “bùm”, một lỗi hệ thống xảy ra, thanh khoản bị rút cạn, giá token giảm 99%. “Lỗi này có thể do một kẻ tấn công nào đó hoặc có thể tới từ lòng tham của những người trong Team, nhưng với những người bỏ tiền vào dự án điều này có quan trọng không?”

Và còn rất rất nhiều câu chuyện tương tự trong vùng đất tối tăm này.

Những con quái vật chỉ chực chờ tấn công

Đầu tiên phải nhấn mạnh một điều rằng, số lượng quái vật trong vùng đất này nhiều hơn rất nhiều so với thứ mà bạn đang nghĩ. Chúng có muôn hình vạn trạng và mỗi một trong số chúng lại có nanh vuốt khác nhau:

  • Poly Network bị tấn công do có lỗi liên quan đến bridge.
  • Một Platform đã có thời gian dài hoạt động không vấn đề như Cream Finance, cuối cùng do hợp tác với Alpha Finance và có lỗ hổng trong hệ thống mà bị kẻ xấu tấn công.
  • ThorChain dù đã được tên hacker cảnh báo là có lỗi nghiêm trọng trong hệ thống nhưng vẫn bỏ mặc làm ngơ và hậu quả là bị tấn công hai lần liên tiếp.
  • Và hàng trăm trường hợp dự án ra mắt và thu hút tài sản, cuối cùng rút hết thanh khoản và ra đi với số vốn của nhà đầu tư.

Thông tin chi tiết về các vụ hack anh em có thể tham khảo thêm thông qua Top 6 vụ Exploit nổi bật nhất trong nửa đầu năm 2021.

Tỷ lệ rủi ro lớn hơn rất nhiều so với tiềm năng lợi nhuận và việc hiểu rõ điều này là cần thiết trước khi tiếp tục bước những bước tiếp theo.

Những kẻ ngụy quân tử 

Audit là việc các dự án đưa sản phẩm của mình (code) cho các công ty chuyên về bảo mật kiểm tra. Các công ty Audit được coi là những hiệp sĩ sát cánh cùng dự án và như một tấm khiên chắn để bảo vệ những ai bước chân vào vùng đất Crypto đầy nguy hiểm. Đã từ rất lâu, một trong những việc đầu tiên khi tìm hiểu một dự án là nhìn xem dự án đó đã được Audit hay chưa.

Exploit

Dự án đã được Audit sẽ cho người dùng thêm sự tự tin và tăng tính đảm bảo cho sản phẩm gấp nhiều lần so với một dự án ẩn danh và không được Audit.

“Vậy dự án chỉ cần được Audit là an toàn và tôi có thể đưa tài sản của mình vào mà không phải lo lắng?”

“Thật vậy không?”

Các dự án được Audit bởi các công ty Audit là tốt. Tuy nhiên vẫn có “những con quái vật đội lột hiệp sĩ” mà chỉ cần bạn là người mới và không đủ trải nghiệm thì sẽ bị đánh lừa bởi những bộ giáp sáng loáng mang tên “audited by…”.

Vấn đề của các công ty Audit ở thời điểm hiện tại:

  • Không phải chịu bất kỳ một hình thức trách nhiệm nào nếu dự án bị tấn công (trừ việc bị tổn hại danh tiếng).
  • Chi phí Audit đắt đỏ: Trailofbits.com $16,000, Cryptomaniacs $5,000, Sigmaprime.io $27,500 cho 359 dòng code Solidity – Trích từ tâm sự của Andre Cronje, Founder của Yearn Finance về việc phát triển dapp từ những ngày đầu của mình.

Các công ty Audit ở thời điểm hiện tại đang ở một vị thế mà chỉ có lợi cho bản thân. Từ chuẩn mực của sự tin tưởng, ở thời điểm hiện tại, cộng đồng Crypto đã tự chia sẻ từ kinh nghiệm và mất mát của bản thân rằng “việc Audit cũng chỉ được thực hiện bởi con người và vẫn không thể đảm bảo được an toàn cho người dùng”.

Tuy nhiên không thể phủ nhận rằng, Audit dù ít hay nhiều, cũng góp phần tăng tính bảo mật cho sản phẩm và việc sẵn sàng chi tiền cho nhiều bên Audit cũng thể hiện tính nghiêm túc từ phía nhà phát triển, đây cũng là một yếu tố tốt để đánh giá dự án.

Cần chuẩn bị gì nếu muốn đặt chân vào vùng đất Crypto

Tuy vùng đất này có nhiều nguy hiểm nhưng chỉ cần chuẩn bị đầy đủ, ta có thể tăng đáng kể tính an toàn cho bản thân. Do đó với vị thế người dùng, một vài việc ta có thể làm bao gồm:

  • Không bao giờ All in: Cho dù một kèo nào đó có lợi nhuận hấp dẫn hay đảm bảo đến mức nào, ta luôn chỉ nên tham gia với số vốn mà mình có thể mất.
  • Bảo mật tốt thông tin: Luôn giữ an toàn và không để lộ seed phrase, chia làm nhiều ví cho các mục đích khác nhau (ví để giữ tài sản, ví để chuyển test sản phẩm, ví để săn airdrop,…).
  • Tránh những thứ “lạ”: Không bao giờ click vào đường link lạ, hoặc động vào một Token free mà không hiểu sao lại xuất hiện trong ví.
  • Luôn học hỏi: Có rất nhiều hình thức lừa đảo khác nhau và yêu cầu chúng ta luôn học hòi và tiếp thu thêm kinh nghiệm để tăng tính an toàn cho tài sản của bản thân.

Kết luận

Crypto nói riêng và DeFi nói chung mở ra rất nhiều cơ hội cho những ai tham gia, nhưng đồng thời đây là một lĩnh vực còn rất mới và tiềm ẩn nhiều rủi ro. Việc hiểu rõ những nguy cơ mà bản thân có thể gặp sẽ giúp chúng ta rất nhiều trong việc không mất tiền, từ đó mới có thể kiếm được tiền từ thị trường này.

Vẫn còn tồn tại nhiều vấn đề liên quan đến việc Audit cũng như các biện pháp nhằm bảo đảm an toàn trong không gian Crypto, và đây chắc chắn sẽ là một nhánh được chú trọng trong tương lai.

# KHÁM PHÁ CÁC HASHTAG HÀNG ĐẦU

Theo dõi và cập nhật tin tức VF-Ventures thông qua các kênh truyền thông:

- Telegram Chat

- Telegram Channel

- Twitter VF-Ventures

- Youtube VF-Ventures

0 0 votes
Article Rating
Nhận thông báo qua Email
Nhận thông báo cho
guest
0 Comments
Inline Feedbacks
View all comments
0
Hãy để lại bình luận của bạn!x
()
x