Cuộc Tấn Công Aave Bộc Lộ Những Kẽ Hở Trong Bảo Mật DeFi: Bài Học Quan Trọng Cho Các Giao Thức Chưa Được Kiểm Toán

Điều Gì Thực Sự Đã Xảy Ra?

Aave, nền tảng cho vay phi tập trung lớn nhất trong hệ sinh thái, đã bị tấn công nhằm vào hợp đồng ngoại vi ParaSwapRepayAdapter. Cuộc tấn công diễn ra một cách chính xác: khoảng 56.000 đô la đã bị đánh cắp, nhưng giao thức trung tâm vẫn nguyên vẹn. Điều đáng lo ngại không phải là số tiền, mà là b bài học an ninh mà nó để lại.

Các Số của Thảm Họa:

• Tổng tổn thất: $56,000 (~$51,000 trên Ethereum, Arbitrum, Polygon, Optimism + $5,000 trên Avalanche)
• Mạng bị ảnh hưởng: 5 blockchain bị ảnh hưởng đồng thời
• Yếu tố then chốt: Hợp đồng không bao giờ được kiểm toán chính thức

Cách thức hoạt động của vụ khai thác

Kẻ tấn công đã tận dụng ba lỗ hổng liên tiếp:

1. Lỗi gọi tùy ý - Đã thao tác logic của hợp đồng để thực hiện các giao dịch không được phép.
2. Trượt giá dương - Đã rút thêm token trong quá trình hoán đổi trên DEXs
3. Rửa tiền - Đã chuyển các tài sản bị đánh cắp đến các địa chỉ làm phức tạp việc truy tìm.

Đây là một minh chứng tàn bạo về lý do tại sao các hợp đồng ngoại vi không được kiểm toán là gót chân Achilles của DeFi.

Câu Trả Lời của Aave ( và Những Giới Hạn )

Các đại biểu quản trị đã nhanh chóng trấn an:

• “Nhân lõi an toàn”
• “Chỉ là một hợp đồng ngoại vi”
• “Quỹ của người dùng không gặp nguy hiểm”

Về mặt kỹ thuật là đúng. Về mặt chiến lược là chưa đủ.

Đây không phải là cú sốc đầu tiên. Vào tháng 11 năm 2023, một số pool đã bị tạm dừng mà không có sự minh bạch hoàn toàn, làm gia tăng nghi ngờ giữa người dùng về những gì khác có thể bị che giấu.

Cuộc Chiến Lạnh Giữa Aave và Euler

Cuộc tấn công mạng đã khơi dậy những căng thẳng đã ngủ quên.

Người sáng lập Euler đã cáo buộc Aave giảm thiểu các vấn đề bảo mật của chính họ trong khi họ ăn mừng sự sụp đổ của Euler ( đã mất $200 triệu từ lâu ). Sự đạo đức giả đã được phơi bày: cả hai nền tảng đều đã bị tấn công, nhưng họ xử lý câu chuyện theo cách rất khác nhau.

Câu hỏi khó chịu: Tại sao Aave có thể giảm thiểu một vụ hack trị giá 56,000 đô la nhưng các giao thức khác với tổn thất tương tự lại bị chỉ trích nhiều hơn từ truyền thông?

Những Gì DeFi Cần Học (Nhưng Có Lẽ Sẽ Không Học Được )

Đối với Giao thức:

1. Kiểm toán TẤT CẢ - Cốt lõi và ngoại vi. Không có ngoại lệ.
2. Giao tiếp minh bạch - Không “xoay chuyển tình huống”, hoàn toàn minh bạch.
3. Hợp tác trong an ninh - Thiết lập các tiêu chuẩn chung, không có chiến tranh lãnh thổ.

Dành cho người dùng:

• Các hợp đồng ngoại vi có thể bị ảnh hưởng nhiều như các hợp đồng lõi.
• Một nền tảng “lớn” không đảm bảo an toàn
• Kiểm toán là nền tảng, không phải là một sự xa xỉ

Và Bây Giờ Thì Sao?

Các giao thức như Euler và Linea có cơ hội dẫn đầu bằng hành động, không chỉ bằng lời nói. Kiểm toán chủ động, giao tiếp rõ ràng, quản trị ưu tiên an toàn hơn tốc độ.

Thị trường DeFi sẽ tiếp tục phát triển. Nhưng nếu chúng ta không học hỏi từ Aave, sẽ sớm có những câu chuyện tồi tệ hơn để kể.