Flash Loan Attack là gì? Nguyên lý hoạt động của Flash Loan

Tình trạng các dự án DeFi bị tấn công bởi các hacker bí ẩn đã lên mức độ báo động. Sự cố này gây tổn thất lớn cho đội ngũ phát triển dự án và các nhà đầu tư. Trong số các vụ tấn công “đắt” nhất từ trước đến nay, có thể kể đến Flash Loan Attack. Vậy thực chất Flash Loan Attack là gì? Những cuộc tấn công này nguy hiểm như thế nào?

Giới thiệu tổng quan về Flash Loan Attack

Flash Loan Attack là gì?

Flash Loan Attack là một phương thức tấn công các dự án DeFi. Để thực hiện cuộc tấn công này, cyberthief đã thực hiện Flash Loan (tạm dịch: khoản vay nhanh – hình thức cho vay không tập trung) từ một giao thức cho vay.

Bên cạnh đó, chúng còn kết hợp nhiều “mánh lới”, chiêu trò khác nhau để thao túng thị trường. Thời gian thực hiện các cuộc tấn công chỉ vỏn vẹn vài giây nhưng lại ảnh hưởng đến rất nhiều giao thức DeFi.

Về bản chất, Flash Loan Attack là một trong những cuộc tấn công DeFi phổ biến. Đơn giản vì đây là hình thức tấn công dễ thực hiện và tốn ít chi phí nhất. Flash Loan Attack manh nha xuất hiện từ năm 2020 và tràn lan hơn vào năm 2021. Tính đến hiện tại, những cuộc tấn công này đã “ngốn” hàng trăm triệu USD.

Flash Loan là gì?

Tốc độ phát triển mạnh mẽ của DeFi chính là “ngòi súng” phát nổ các hoạt động cho vay tiền mã hóa. DeFi tận dụng toàn bộ sức mạnh của các công nghệ hiện đại để tạo nên những khoản vay nhanh cực kỳ hấp dẫn. Thuật ngữ Flash Loan mô tả quy trình một người đi vay thực hiện một khoản vay mà không cần thế chấp.

Vậy làm thế nào điều này có thể xảy ra?

Về cơ bản, nền tảng sẽ sử dụng Smart Contracts riêng để thực hiện các cuộc cho vay. Toàn bộ quy trình cho vay và trả lại sẽ được thực hiện trong một giao dịch duy nhất trên BlockchainCó nghĩa là chuỗi các khối chứa các giao dịch được kết nối với nhau theo dạng móc xích có liên quan chặt chẽ với nhau. Đây là từ khoá chỉ cho việc ứng dụng kỹ thuật móc xích các khối thành chuỗi kết nối với nhau và sử dụng công nghệ mạng ngang hàng để lưu đồng bộ dữ liệu trên tất cả các nút mạng. Vì công nghệ này sử dụng các nút mạng được kết nối ngang hàng với nhau nên có thể thời gian ở các nút mạng không giống nhau nên việc sử dụng các khối kết nối móc xích như vậy để đảm bảo thứ tự thời gian của chúng.. Nghĩa là người vay cần phải nhanh chóng hoàn trả khoản vay trong thời gian ngắn. Nếu người cho vay vỡ nợ, toàn bộ giao dịch sẽ bị hủy như thể chưa có gì xảy ra.

Có thể thấy, Flash Loan không được đảm bảo bởi bất kỳ giấy tờ, hợp đồng pháp lý nào. Trong khi đó, các khoản vay truyền thống sẽ được đảm bảo bởi tài sản thế chấp hoặc điểm tín dụng. Với Flash Loan, bạn có thể nhận được một lượng lớn stablecoin chỉ trong vài giây và nhanh chóng giải quyết nhu cầu của mình.

Ngoài ra, toàn bộ quy trình vay và cho vay sẽ được tự động hóa hoàn toàn. Khi mọi thứ diễn ra thuận lợi, cả người cho vay và đi vay đều được hưởng lợi từ khoản vay ấy. Nếu gặp bất kỳ vấn đề nào, giao dịch sẽ bị hủy và không có lợi nhuận cho đôi bên.

Flash Loan và những đặc tính cơ bản

Smart Contracts

Smart Contracts được xem là công cụ không thể thiếu đối với các hoạt động động Flash Loan. Về cơ bản, Smart Contracts luôn góp mặt trong phần lớn các Blockchain. Và chỉ khi có bộ quy tắc cụ thể được đáp ứng, Smart Contracts trong Blockchain mới được thực thi.

Với Flash Loan cũng thế, trước khi hoàn thành các khoản giao dịch, người vay sẽ được yêu cầu trả toàn bộ số tiền vay. Nếu vi phạm quy tắc, các điều khoản trong Smart Contracts sẽ không được thỏa mãn, khiến cho các khoản vay bị vô hiệu hóa.

Không được đảm bảo

Như đã đề cấp, các khoản vay Flash Loan không yêu cầu bất kỳ yếu tố đảm bảo nào. Người đi vay có thể nhận tiền mà không cần thế chấp tài sản như những khoản vay truyền thống. Song, nguồn tiền cho vay vẫn được giữ an toàn và hoàn trả lại sau khi giao dịch kết thúc.

Tốc độ giao dịch tức thì

Đối với các khoản vay truyền thống, bạn sẽ tốn một khoảng thời gian dài để nhận trọn vẹn số tiền muốn vay. Ngược lại, Flash Loan giúp quy trình vay/cho vay được diễn ra gần như tức thời. Bên cạnh đó, người vay cũng không cần nộp các loại giấy tờ xác minh thu nhập, tốn thời gian chờ phê duyệt hoặc hoàn lại khoản vay.

Flash Loan xử lý các giao dịch nhanh chóng hơn nhờ vào Smart Contracts. Nghĩa là người đi vay phải hoàn trả lại số tiền đã vay trong cùng một giao dịch trên Blockchain.

Nguyên lý vận hành của Flash Loan Attack

Flash Loan cho phép người dùng thực hiện các khoản vay tùy ý với số vốn bằng 0. Ví dụ: Bạn muốn vay một khoản ETH trị giá 50.000 USD, một giao thức sẽ cung cấp ngay cho bạn. Tuy nhiên, điều này không đồng nghĩa với việc khoản vay ấy là của bạn. Vì vậy, bạn cần làm gì đó với số tiền đã vay để trả nợ và còn dư để “bỏ túi”.

Để thực hiện được điều này, quy trình vay/cho vay phải diễn ra nhanh chóng. Đồng thời số tiền nợ phải được hoàn trả cho giao thức kịp thời. Nếu không, giao dịch sẽ bị đảo ngược.

Các giao thức cho vay DeFi không yêu cầu bạn thế chấp vì thỏa thuận trả nợ chỉ được thực thi bởi một Blockchain. Những tên tội phạm Flash Loan Attack đã lợi dụng điều này để thao túng thị trường và vẫn tuân theo các quy tắc của Blockchain.

Một số ví dụ về Flash Loan Attack

Tính đến nay, đã có hàng chục vụ Flash Loan Attack với số tiền lên đến hàng trăm triệu USD. Trong bài viết này, CryptoX100.com chỉ đề cập đến các cuộc tấn công “đắt giá” nhất, bao gồm: Cream Finance, Alpha Homora, dYdX và PancakeBunny.

Cream Finance

Năm 2021 chính là năm “thất thủ” đối với Cream Finance. Nền tảng này đã bị tấn công Flash Loan với hơn 130 triệu USD. Tội phạm đã đánh cấp LiquidityKhả năng mua hoặc bán tài sản của thị trường kết hợp với mức độ giá cả tương đối ổn định và nhất quán giữa các giao dịch gọi là thanh khoản. Liquidity Provider: người cung cấp thanh khoản. token CREAM của dự án trong khoảng thời gian không xác định.

Alpha Homora

Đầu năm 2021, Alpha Homora cũng chịu một cuộc tấn công tương tự như Cream Finance. Sau vụ tấn công, Alpha Homora đã bị tổn thất đến 37 triệu USD. Hacker đã tấn công vào Iron Bank của Cream Finance thông qua một loạt Flash Loan. Đây là một nhánh cho vay của giao thức Alpha Homora.

Kẻ tấn công đã lặp lại quá trình Flash Loan nhiều lần cho đến khi tích lũy đủ đủ CreamY USD. Sau đó, chúng sẽ dùng token này để vay các loại tiền mã hóa khác nhau. Theo các chuyên gia, vụ tấn công này tương đối phức tạp. Tuy nhiên, kẻ tấn công đã tạo túng rất nhiều sUSD pool của HomoraBank v2.

dYdX

Đầu năm 2020, tội phạm mạng đã sử dụng nền tảng dYdX để thực hiện các Flash Loan. Sau đó, chúng chia nhỏ số tiền và sử dụng trên cả hai nền tảng, bao gồm: Fulcrum và Compound.

Với Fulcrum, chúng swap từ ETH sang wBTC. Tại thời điểm này, Kyber Network đã nhận được đơn đặt hàng qua DEX của UniSwap. Chính vì tính thanh khoản của UniSwap thấp nên đã khiến giá của wBTC cao ngất ngưởng.

Đồng thời, kẻ tấn công cũng sử dụng khoản vay thứ hai trên nền tảng Compound để nhận wBTC từ Flash Loan. Khi giá của wBTC tăng vọt, chúng sẽ nhanh chóng swap để hưởng nguồn lợi nhuận bất hợp pháp khổng lồ.

PancakeBunny

Giữa năm 2021, PancakeBunny đã lọt vào tầm ngắm của một tên hacker và bị “bay” mất 3 triệu USD. Tên tội phạm lần đầu sử dụng PancakeSwap để vay một khoản BNB lớn. Trong cuộc tấn công, hắn đã thao túng toàn bộ cặp giao dịch BUNNY/BNB và USDT/BNB.

Sau đó, tên tội phạm tiếp tục vay một lượng lớn BUNNY để bán và phá giá. Đồng thời, hắn sẽ trả lại BNB và “bốc hơi” cùng “đống” lợi nhuận. Cuộc tấn công đã khiến giá của PancakeBunny giảm đáng kể từ 146 USD xuống còn 6,17 USD.

Flash Loan Attack tuy không ảnh hưởng nghiêm trọng đến các traders. Tuy nhiên, nền tảng DeFi sẽ chịu rất nhiều tổn thất từ những cuộc tấn công này. Qua bài viết trên, chắc hẳn bạn đã hiểu hơn về hình thức tấn công đặc biệt này. Chúc bạn thành công với các dự án sắp tới!

Những câu hỏi thường gặp