Tôi không tin vào lời hứa « audité par trois sociétés » nữa, tôi chỉ tin vào dòng code mà tôi tự tay kiểm tra.
Đã kiểm tra kỹ chưa? Đây là câu hỏi tôi tự đặt ra mỗi khi một dự án DeFi bỗng nhiên nổi như cồn trên thị trường tăng giá này.
Hãy nhìn vào giao thức mới nhất mà ai cũng đang nói đến, tôi sẽ gọi nó là « YieldMax » — một nền tảng lending với tổng giá trị khóa (TVL) đã tăng vọt từ 0 lên 200 triệu đô trong vòng 3 tuần. Cộng đồng đang FOMO, nghĩ rằng đây là « bản nâng cấp » của Aave hay Compound. Nhưng với tôi, đây là một mỏ vàng cho các lỗ hổng bảo mật.
Context: Chu kỳ thổi phồng đang che giấu sự thật
Chúng ta đang ở trong một thị trường tăng, nơi màu xanh lá cây làm lu mờ lý trí. Các nhà đầu tư bán lẻ đổ xô vào các dự án mới, tin vào những lời quảng cáo về lợi suất cao. Nhưng tôi đã chứng kiến quá nhiều vụ hack trong 19 năm qua — từ hợp đồng ICO năm 2017 đến các giao thức DeFi sụp đổ năm 2022. Thị trường tăng giá là thời điểm lý tưởng cho những kẻ tấn công, vì các nhà phát triển thường vội vàng ra mắt mà không kiểm tra kỹ lưỡng. YieldMax cũng không ngoại lệ.
Core: Tháo gỡ có hệ thống — từng dòng code
Tôi bắt đầu bằng việc phân tích logic cốt lõi của giao thức. Trên giấy tờ, nó hoạt động: người dùng gửi tài sản thế chấp, vay stablecoin, và trả lãi. Nhưng khi tôi kiểm tra hàm withdraw(), tôi phát hiện một lỗ hổng reentrancy cổ điển. Đây không phải là một lỗi phức tạp — nó là lỗi sơ đẳng mà bất kỳ lập trình viên Solidity nào cũng biết. Vấn đề là code đã không tuân theo mẫu « checks-effects-interactions ». Attacker có thể gọi lại hàm withdraw() trong khi số dư chưa được cập nhật, rút hết tất cả tài sản của giao thức.
Tôi còn tìm thấy một lỗ hổng khác trong logic tính lãi suất. Công thức sử dụng số học không an toàn, dẫn đến việc lãi suất có thể bị thao túng. Trong kịch bản xấu nhất, một người dùng có thể gửi một lượng nhỏ tài sản, tạo ra một khoản nợ khổng lồ, và sau đó gây ra thua lỗ cho tất cả người dùng khác. Điều này cho thấy nhóm phát triển không có kinh nghiệm trong việc xử lý các phép tính tài chính chính xác.
Dựa trên kinh nghiệm audit của tôi với các dự án DeFi như YieldVault năm 2020 — nơi tôi phát hiện 7 điểm yếu, bao gồm lỗi số học tương tự — tôi biết rằng những sai lầm này không thể được tha thứ. Khi tôi báo cáo với đội ngũ YieldMax, họ phản ứng chậm và miễn cưỡng sửa lỗi. Điều này cho tôi biết rằng văn hóa bảo mật của họ rất yếu.

Contrarian: Phần phe bò đúng
Tuy nhiên, tôi không thể phủ nhận rằng thị trường đã đúng về tiềm năng của YieldMax. Ý tưởng sản phẩm của họ — một nền tảng lending phi tập trung với lãi suất linh hoạt — là hợp lý. TVL tăng nhanh cho thấy nhu cầu thực sự. Nếu họ sửa lỗi, giao thức này có thể trở thành một đối thủ cạnh tranh đáng gờm. Những người ủng hộ họ lập luận rằng « mọi giao thức mới đều có lỗi, và thị trường sẽ tự sửa chữa ». Họ đúng ở điểm: các lỗ hổng kỹ thuật thường được phát hiện và vá trước khi bị khai thác. Nhưng họ quên mất rằng các cuộc tấn công DeFi không chờ đợi.

Takeaway: Kêu gọi trách nhiệm
Liệu chúng ta có thực sự cần một vụ hack mất 200 triệu đô để học bài học rằng « code không phải là luật, nó chỉ là một lỗ hổng đang chờ được khai thác »? Khi bạn đầu tư vào một dự án DeFi, bạn không đầu tư vào một ý tưởng hay một đội ngũ, bạn đầu tư vào dòng code. Và nếu code đó chưa được kiểm tra bởi một người thực sự hiểu biết, thì bạn chỉ đang ném tiền vào một cái hố không đáy.