Khi nói về từ khoá Alpha Finance Lab, nhiều người sẽ nghĩ ngay đến vụ tấn công “bất ngờ” khiến nền tảng này thiệt hại gần 37,5 triệu USD mới đây. Tuy vậy, 1 tuần sau vụ tấn công, hãy cùng ngồi lại, điểm qua những chi tiết, những thông tin được cung cấp để có cái nhìn khách quan hơn về vụ việc này cũng như tìm hiểu xem liệu có cơ hội đầu tư nào ẩn sau sự cố này nhé.
Trước hết, để dẫn dắt vào nội dung chính, xin phép được trích dẫn một câu nói của Steve Jobs trong buổi thảo luận cùng các sinh viên MIT:
“Nếu muốn viết được các dòng code một cách nhanh chóng, dòng code có thể được nâng cấp một cách dễ dàng, dòng code không bao giờ bị lỗi, thì tốt nhất là bạn không nên viết code.”
Tất nhiên trong bối cảnh trên, Steve muốn nhấn mạnh sự tôn sùng của ông với chủ nghĩa đơn giản và tối ưu hoá. Song nó cũng vạch trần một sự thật khắc nghiệt với các sản phẩm công nghệ, rằng sai số là hoàn toàn có thể xảy ra và vào bất cứ thời điểm nào. Điều đáng tiếc với Alpha đó là sai số đến vào thời điểm họ đang “bay cao” nhất.
Phải thừa nhận rằng, việc bị tấn công gây thiệt hại hàng chục triệu USD là chuyện không mấy xa lạ với các nền tảng DeFi. Dưới đây là thống kê những dự án DeFi đã bị tấn công vào năm 2020.
Nói như vậy không đồng nghĩa với việc chúng ta nhắm mắt làm lơ cho các lỗ hổng. Thay vào đó, bài viết dưới đây sẽ cố gắng cung cấp góc nhìn khách quan nhất từ những chi tiết thu thập được, nhằm tránh việc ghi nhận thông tin một chiều và đánh giá thiếu chính xác (có thể quá tự tin, có thể quá tiêu cực) về một dự án.
Vụ tấn công này, vì đâu mà có?
Những lỗ hổng đã bị lợi dụng
- Smart Contract cho phép bất cứ ai cũng có thể tương tác.
- Pool sUSD vẫn chưa chính thức đi vào hoạt động, song vẫn cho phép tương tác, giúp hacker dễ dàng chiếm quyền kiểm soát pool.
- Cơ chế làm tròn bị lợi dụng, khiến hệ thống vô tình làm tròn số dư vay, trả và bị đánh lừa bởi thủ thuật của hacker.
Cách thức tấn công cụ thể
Vì cách thức tấn công cụ thể khá phức tạp gồm đến 9 giao dịch. Nên Coin68 xin được giải thích riêng ở bài viết tại đường dẫn này.
Ai là người chịu thiệt hại?
Cream Finance trong hệ thống Iron Bank sẽ là người đứng ra cho các giao thức đạt chuẩn vay thanh khoản. Do đó, thiệt hại trên là thiệt hại từ phía Cream. Song, vì lỗ hổng bị khai thác nằm trong smart contract của Alpha, nhiều khả năng Alpha sẽ thực hiện hoàn trả lại khoản tiền trên cho Cream.
Giá token nào lao dốc mạnh sau thông tin này?
Dưới đây là tổng hợp giá Cream và Alpha tính từ thời điểm vụ tấn công diễn ra.
Sau thông tin trên, giá Alpha từ vùng 2,2 USD giảm xuống mức thấp nhất quanh 1,42 USD. Đây là mức giảm xấp xỉ 54%.
Trong khi đó, Cream có vẻ lại là dự án bị ảnh hưởng nhiều hơn, khi giá đang từ vùng đỉnh 285 USD giảm sâu vè 166 USD, tức gần 71%.
Ai là người vô tình hưởng lợi?
Ngoài sự lao dốc của 2 token trực tiếp liên quan trên, Cover Protocol còn được hưởng lợi vì là vị trí cung cấp bảo hiểm cho các dự án trong hệ sinh thái của Iron Bank. COVER nhanh chóng vượt ngưỡng 1.000 USD sau các thông tin bị exploit từ chính Yearn và Alpha. Dù vậy, cũng không thể bỏ qua những cải tiến ấn tượng cùng các hợp tác đáng chú ý của Cover trong thời gian qua. Bạn đọc có thể tìm hiểu thêm về những cải tiến giúp Cover cung cấp sản phẩm bảo hiểm phù hợp hơn cho người dùng ở bài viết này.
Những cập nhật mới nhất để xử lý vấn đề
Những lỗ hổng của vụ tấn công đã được xử lý
- Chỉ các EOA mới có thể gọi hàm ‘execute’.
- Chỉ các spell được kiểm duyệt mới có thể được sử dụng. (spell tạm hiểu là các chiến lược đầu tư giống với vault trong hệ thống Yearn).
- Hàm ‘resolveReserve’ cũng sẽ chỉ được gọi bởi người quản trị.
- Loại bỏ tính năng vay và hoàn trả sUSD và các token vẫn chưa được chính thức triển khai trên frontend.
- Thực hiện thêm audit với các công ty kiểm định. Trước đó alpha đã được kiểm định bởi Quantswamp và Peckshield.
Những hoạt động bị trì hoãn
- Không thể mở vị thế đòn bẩy mới
- Người dùng muốn farm đòn bẩy và cung cấp thanh khoản sẽ không thể mượn thêm vốn
Các hoạt động vẫn triển khai bình thường
- Người cho vay vẫn có thể tiếp tục nạp và rút vốn cho vay
- Hoạt động đào thanh khoản vẫn tiếp tục trên Alpha Homora V1 và V2
Trong nguy có cơ?
Sau vụ tấn công trên, tất nhiên Alpha sẽ gánh chịu nhiều ý kiến trái chiều, song đâu vẫn là những yếu tố đáng để tiếp tục theo dõi dự án này trong thời gian tới.
Sự ủng hộ của cộng đồng DeFi
Điểm tích cực sau khi sự cố trên xảy ra, đó chính là sự ủng hộ của cộng đồng DeFi với Alpha. Rất nhiều các dòng tweet trên mạng xã hội ủng hộ Alpha ngay sau vụ tấn công này. Andre Cronje – người được mệnh danh là bố già DeFi cho biết:
I have 0 doubts in @tascha_panpan and the rest of the team. Will continue to support them with everything in our ecosystem. During these events they have shown themselves capable, level headed, and thoughtful.
I’m excited for more https://t.co/EifNIptaKf
— Andre Cronje (@AndreCronjeTech) February 14, 2021
“Tôi không có bất cứ nghi ngờ nào cho Tascha (CEO của Alpha Finance Lab). Sẽ tiếp tục nỗ lực hỗ trợ họ bằng tất cả mọi thứ chúng tôi có trong hệ sinh thai. Trong chuỗi sự kiện này, họ chứng minh rằng họ hoàn toàn đủ khả năng, trí tuệ và độ tâm huyết.”
CEO Long Vương của TomoChain cũng đã đăng tải dòng trạng thái ủng hộ Alpha sau sự cố trên.
Support Alpha Finance Lab. Crypto lending is complicated and it is difficult to cover all the smart-contract ‘s intricacies. We will try to build the most secure products at @TomoChainANN @LuaSwap https://t.co/TwqWr25vTz
— Long Vuong (@longvuong22) February 14, 2021
Emiliano Bosani, một hacker mũ trắng, người tham gia rất năng nổ vào quá trình xây dựng hệ sinh thái DeFi cũng đã đăng dòng tweet khẳng định “mỗi vụ hack sẽ làm chúng ta mạnh mẽ hơn”.
? every hack make us stronger
Will be hard times but we are going to get back again! https://t.co/mAe8EYhkWt
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) February 13, 2021
Mô hình thiết kế vẫn rất ấn tượng
Điểm tích cực tiếp theo chính là việc Alpha hoàn toàn có thể trở thành một nền tảng lending và soán ngôi của cả Aave. Thông thường, người dùng sẽ phải thế chấp tài sản trên Aave, từ đó sẽ vay DAI để tiếp tục thực hiện các hoạt động trong hệ sinh thái DeFi.
Tuy nhiên, với Alpha Homora – một nhánh sản phẩm của Alpha, họ đơn giản hoá khâu trung gian bằng cách thiết kế Leverage Yield Farming (tạm dịch là Farm đòn bẩy). Với APY cao x2 và x3, tất nhiên người dùng ưa chuộng giải pháp này hơn, mà không biết họ đã vô tình bỏ qua khâu vay trên các platform lending.
Giới hạn của hình thức leverage này chắc chắn đến từ tỷ lệ thanh lý. Ngoài ra, phí giao dịch cũng bị tăng phi mã khi người dùng lựa chọn giải pháp farm đòn bẩy.
Một bài viết của tác giả keyahayek trên Medium cũng đề cập đến tổng giá trị cho vay trên Aave và Alpha.
Theo dữ liệu trích xuất từ DeBank, Aave V2 đang có tổng giá trị cho vay là 196 triệu USD. Với thiết kế của mình, Alpha hoàn toàn có thể nhanh chóng vượt qua chính Aave V2 để tiến sát hơn top dẫn đầu của thị trường lending.
Cập nhật EIP-1559 từ Ethereum
Trong tuần tới, cụ thể là ngày 26/02, cộng đồng Ethereum sẽ thảo luận đề xuất EIP-1559, đề xuất yêu cầu thiết lập mức phí nền và phí “tip” phụ thêm trên hệ thống. Với mức nền được xác lập, hệ thống sẽ hạn chế được rất nhiều việc phí giao dịch tăng phi mã do người dùng sau lại muốn giao dịch được thực hiện trước. Trong thời gian gần đây, BSC liên tục đánh mạnh vào yếu điểm phí giao dịch để nhanh chóng vươn lên. Sau EIP-1559, hiệu ứng tác động lên các ứng dụng DeFi trên ETH là rất đáng kì vọng.
Hệ sinh thái của Andre Cronje
Sau vụ việc trên, dễ dàng nhận thấy mô hình mà Andre đang hướng đến được bao bọc từ khâu thanh khoản (Curve, Sushi,..) đến khâu phân phối (Cream) và khâu đòn bẩy (Alpha Homora). Thậm chí, các dự án muốn được Cream duyệt whitelist còn phải thoả mãn các yêu cầu về bảo hiểm. Và đó chính là lĩnh vực mà Cover Protocol đang bao phủ.
Tất nhiên, sau khi Yearn và Alpha bị tấn công, niềm tin đôi chút bị lung lay, song xu hướng tích lũy với các đồng trong hệ sinh thái của Yearn vào tuần vừa rồi là yếu tố rất đáng quan tâm.
Đội ngũ rất tài năng và không ngừng sáng tạo
Từ CEO cho đến kỹ sư trưởng cho sản phẩm của Alpha, tất cả đều là những sinh viên ưu tú của các trường đại học danh tiếng trên thế giới. Đặc biệt, người chịu trách nhiệm cho sản phẩm của Alpha là kỹ sư Nipun Pitimanaaree – người thậm chí còn là “khách quen” với các cuộc thi toán quốc tế IMO khi thi 5 lần thì 4 lần có huy chương vàng.
Sau vụ exploit, bài đăng của Alpha nhấn mạnh vào yếu tố sẽ suy nghĩ cách để tạo ra chương trình bug bounty có động lực lớn hơn. Với việc TVL của DeFi đang lớn khủng khiếp, làm sao để tạo ra nhiều “hacker mũ trắng” (những người chủ động hỗ trợ dự án tìm ra lỗ hổng) và hạn chế các hacker tấn công để chiếm đoạt tài sản. Đây là một chi tiết rất nhỏ thôi, song nó thể hiện được động lực suy nghĩ “sáng tạo” của đội ngũ Alpha.
Và tất nhiên, Alpha Homora chỉ là một nhánh sản phẩm của Alpha Finance Lab (bên cạnh đó họ có AlphaX và Asgardian, nếu có điều kiện, Coin68 sẽ nhanh chóng gửi đến quý bạn đọc bài phân tích chuyên sâu về các sản phẩm này), do đó tiềm lực phát triển của Alpha nhiều khả năng vẫn chưa dừng lại tại đây.
Như vậy là chúng ta đã cùng điểm lại những chi tiết và thông tin được cung cấp từ sau vụ Alpha Homora bị tấn công vào ngày 13/02. Hi vọng những thông tin trên đây sẽ hữu ích cho quý độc giả. Lưu ý, bài viết trên đây chỉ mang tính chất thông tin và không được xem là lời khuyên đầu tư.
Coin68 tổng hợp
Có thể bạn quan tâm:
- Flash Swap và những lợi ích cho Cover Protocol
- Curve Finance – Gã khổng lồ chưa thức giấc của DeFi?
- Alpha Coin - Alpha Finance Lab (ALPHA) là gì? Nền tảng cung cấp chiến lược đòn bẩy với lãi suất 0%