Allinstation Flash Loan là gì?
Flash Loan là khoản vay nhanh, cho phép người dùng vay tiền mà không cần thế chấp vì người cho vay số tiền sẽ được trả lại ngay lập tức chỉ trong 1 giao dịch của blockchain. Bằng cách tận dụng các khoản vay không cần tài sản thế chấp (uncollateralized), những kẻ tấn công đã vay tiền và tiến hành thực hiện nhiều lệnh để trục lợi từ lổ hổng của dự án và sau đó hoàn trả lại các khoản vay như ban đầu.
Nói một cách dễ hiểu: Tôi cho bạn vay bao nhiêu tiền tùy bạn muốn trong một giao dịch duy nhất. Nhưng, khi kết thúc giao dịch này, bạn phải trả cho tôi ít nhất bằng số tiền tôi đã cho bạn vay. Nếu bạn không thể làm điều đó, tôi sẽ tự động khôi phục giao dịch của bạn!
Giải thích về giao dịch
Về bản chất, một giao dịch có thể chứa rất nhiều lệnh thực thi khác nhau ở trong đó và hầu hết người dùng chỉ dùng 1 lệnh thực thi là chuyển token.
Vì thế, những người sử dụng Flash Loans có thể tận dụng để thực hiện nhiều lệnh thực thi khác nhau miễn sao khi kết thúc số tiền đã vay phải được hoàn trả.
Mục đích sử dụng Flash Loan
Mục đích của các khoản vay dạng Flash Loan này là việc thu lợi nhuận. Sẽ không hề có hoạt động mua bán hàng hóa nào diễn ra ở đây. Để làm được điều đó thì người vay sẽ tận dụng sự chênh lệch giá giữa các nền tảng khác nhau.
Sẽ không có gì đáng nói khi việc chênh lệch giá đó diễn ra tự nhiên. Thậm chí giao dịch chênh lệch giá cũng là một hình thức được nhiều người lựa chọn. Tuy nhiên, vấn đề ở đây là việc lợi dụng kẻ hở trong hoạt động giữa các nền tảng, người vay tạo ra nhu cầu dẫn đến tạo sự chênh lệch. Sau đó, họ lợi dụng sự chênh lệch đó để kiếm lời riêng cho mình.
Cuộc tấn công vào Pancake Bunny
Ngày 20/05/2021, Pancake Bunny đã thông báo trên trang twitter về việc vừa hứng chịu một cuộc tấn công thông qua khoản vay nhanh (Flash loan attack), từ một kẻ khai thác bên ngoài hệ thống (outside exploiter).
Bunny Fam
Today at 10:34 UTC, PancakeBunny was attacked with an economic exploit that crashed the price of BUNNY.
None of the vaults have been compromised. Team Bunny is currently working on solutions and will provide a report as soon as possible.
To give a general update:
— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021
Tóm tắt vụ việc
1. Kẻ khai thác đã dàn dựng (và tẩu thoát) cuộc tấn công bằng PancakeSwap (PCS).
2. Bằng cách khai thác sự chênh lệnh về giá của PCS, tin tặc đã cố tình thao túng giá của USDT / BNB và Bunny / BNB, thu được một lượng lớn Bunny thông qua việc sử dụng Flash Loans.
3. Kẻ khai thác bán phá giá tất cả Bunny trên thị trường (Ethereum), khiến giá Bunny giảm mạnh.
4. Kẻ khai thác sau đó thoát khỏi cuộc tấn công bằng cách trả lại BNB còn lại (bằng cách khai thác chênh lệch giá so với trước đó) trên PCS.
4⃣ The hacker then dumped all the bunny in the market, causing the bunny price to plummet
5⃣The hacker paid back the bnb through pancakeswaphttps://t.co/ph9OoLQQADhttps://t.co/IWYfBHuijb
— pancakebunny.finance (@PancakeBunnyFin) May 20, 2021
Chi tiết cách thức giao dịch mà kẻ tấn công thực hiện, xem tại đây
Hậu quả
Kẻ tấn công đã kiếm được khoảng 700.000 token BUNNY và 114.000 token BNB trị giá khổng lồ lên tới 200 triệu USD theo giá tại thời điểm đó.
Chưa dừng tại đó, giao thức dựa trên nền tảng BSC này còn phải hứng chịu sự rơi giá khủng khiếp 95%. Trước khi xảy ra vụ việc BUNNY đã được giao dịch trong khoảng $170 theo CoinGecko và hiện nó đã giảm khoảng 95% xuống còn $9,30 (theo poocoin.app). Giá BNB cũng đã bị ảnh hưởng với mức trượt khoảng 25% trong ngày xuống còn $290 từ $380 trước thời điểm bị tấn công.
Kẻ tấn công cũng đính kèm một ghi chú riêng có chứa cách chơi chữ theo chủ đề con thỏ vào các giao dịch làm cạn kiệt pool có nội dung: “ArentFlashloansEaritating.” Tất cả số tiền đã vay để thực hiện cuộc tấn công đã được hoàn trả qua Pancakeswap.
Khi vụ khai thác này tàn phá một trong những dự án hàng đầu của Binance Smart Chain – với Bunny đại diện cho tổng giá trị bị khóa hơn 1 tỷ USD trước khi xảy ra vụ việc, những người xem đang thảo luận về việc liệu Binance có dưa ra biện pháp để khắc phục sự cố hay không.
Đây không phải lần đầu tiên các dự án tiền điện tự bị tấn công gây thất thoát. Đã có liên tiếp các vụ tấn công thông qua flash loans xảy ra như Harvest Finance (33.8 triệu USD), Value DeFi (7 triệu USD), Akro (2 triệu USD), Cheese Bank (3.3 triệu USD) và gần đây nhất là OUSD (7 triệu USD).
Tổng kết
Flash loans mới tiếp cận không gian DeFi, nhưng chúng chắc chắn đã tạo được ấn tượng lâu dài. Khái niệm về các khoản vay không thế chấp, chỉ được thực thi bằng code, mở ra một thế giới đầy tiềm năng trong một hệ thống tài chính mới. Tuy nhiên, Flash loans attack cho chúng ta một lời nhắc nhở nhỏ nhưng hữu ích rằng mọi nền tảng chỉ mới bắt đầu, cần rất nhiều thời gian nữa mới có được kiến trúc bền vững để xây dựng hệ thống tài chính trong tương lai.