Ngành tài chính phi tập trung (DeFi) đã trải qua một loạt các vụ tấn công kỹ thuật, phơi bày sự yếu kém trong các cơ chế xác thực và bảo mật:

1. **Tấn công Jaredfromsubway.eth:** Bot "sandwich" nổi tiếng trên mạng Ethereum đã bị lừa đảo kỹ thuật, nơi bot này bị đánh lừa để đồng ý với các lộ trình giao dịch ảo, dẫn đến việc rút tài sản trị giá **7.5 triệu đô la** (WETH, USDC, USDT).

2. **Lỗ hổng "infinite mint" trong Secret Network:** Cầu nối (Bridge) của mạng đã bị khai thác bằng một phần mềm cho phép kẻ tấn công tạo ra đồng tiền một cách không giới hạn, dẫn đến thiệt hại lên tới **4.7 triệu đô la**.

3. **Cảnh báo Taiko:** Mạng lưới đã thông báo về việc bị khai thác trong cơ chế "xác minh trạng thái chuỗi" (Chain State Verification), và đã phát đi cảnh báo ngay lập tức cho người dùng rút tài sản của họ từ tất cả các cầu nối liên quan.

**Phân tích:**

Những sự cố này cho thấy rằng "tự động hóa" không nhất thiết có nghĩa là "an toàn". Việc khai thác bot giao dịch tiên tiến như Jaredfromsubway chứng minh rằng ngay cả những đối tượng khai thác lỗ hổng cũng có thể trở thành nạn nhân của kỹ thuật xã hội. Còn lỗ hổng "infinite mint" trong Secret Network là lời nhắc rằng các giao thức cầu nối vẫn là "điểm thất bại trung tâm" dễ bị khai thác nhất trong thế giới phi tập trung. Sự phụ thuộc vào mã nguồn mà không có kiểm toán an ninh liên tục (Audit) đã trở thành một rủi ro không thể được che đậy chỉ bằng tốc độ mở rộng.

Bạn có nghĩ rằng các giao thức DeFi có khả năng chống đỡ trước những cuộc tấn công này, hay chúng ta cần phải có "bảo hiểm bắt buộc" cho tài sản gửi trong hợp đồng thông minh?

#DeFi #CryptoSecurity #Blockchain #Ethereum #Taiko