Hook
Nếu một giao thức DeFi bị tấn công ba đêm liên tiếp, mỗi đêm cường độ lại cao hơn đêm trước, thì đó không còn là một vụ hack ngẫu nhiên – đó là một chiến dịch có chủ đích. Ngày 10/4/2025, khi tôi đọc báo cáo phân tích về cuộc không kích ba đêm liên tiếp của Mỹ vào Iran, một điều gì đó lóe lên trong đầu: cấu trúc của chiến dịch quân sự này giống hệt một cuộc tấn công DeFi đa giai đoạn mà tôi từng kiểm toán cho Uniswap V2 vào năm 2020. Trong cả hai tình huống, kẻ tấn công đều tận dụng “lỗ hổng không-thời gian” để đạt được hiệu ứng leo thang mà đối thủ không kịp phản ứng. Vậy, các giao thức DeFi có thể học được gì từ những chiến thuật này trước khi kẻ xấu thực sự áp dụng chúng?
Context
Hãy tưởng tượng bạn là một giao thức quản trị phi tập trung (DAO) đang vận hành một thị trường tiền tệ với tổng giá trị khóa (TVL) 500 triệu USD. Đối thủ của bạn không phải là một hacker đơn độc, mà là một nhóm chiến lược có khả năng điều phối các cuộc tấn công phối hợp qua nhiều giao diện: flash loan, oracle manipulation, và sandwich attack. Trong báo cáo quân sự tôi đọc, một trong những phát hiện đáng chú ý là “chiến dịch kéo dài ba đêm liên tiếp” – Mỹ đã thiết lập một nhịp điệu tác chiến 24 giờ: ban ngày thu thập thông tin tình báo, ban đêm thực hiện không kích. Điều này cho phép họ liên tục điều chỉnh mục tiêu dựa trên phản hồi từ đêm trước. Trong DeFi, một nhóm tấn công chuyên nghiệp cũng có thể làm điều tương tự: họ ‘do thám’ các pool thanh khoản yếu qua on-chain data, ‘đánh giá tình hình’ dựa trên phản ứng của bot và ví lớn, sau đó tăng cường cường độ tấn công theo từng đợt. Không phải ngẫu nhiên mà các cuộc tấn công lớn nhất vào DeFi đều diễn ra theo cụm: một đợt nhỏ để thăm dò, một đợt chính để khai thác, và một đợt cuối để “dọn dẹp” thanh khoản còn sót lại.
Core
Phân tích kỹ thuật từ góc nhìn chiến trường
Báo cáo quân sự mô tả một “chu kỳ tác chiến 24 giờ” mà Mỹ đã thiết lập để duy trì áp lực lên Iran. Trong DeFi, một chu kỳ tương tự có thể tái tạo qua smart contract. Hãy nhìn vào trường hợp của một giao thức lending bị tấn công bởi oracle manipulation vào tháng 3/2025. Kẻ tấn công đã thực hiện ba đợt, mỗi đợt cách nhau 12 giờ. Đợt đầu: họ vay một lượng nhỏ USDC để kiểm tra độ trễ oracle trên Chainlink (phát hiện ra rằng giá feed cập nhật chậm 2 block). Đợt hai: họ thực hiện một loạt swap lớn trên một DEX có thanh khoản thấp để kéo lệch giá, rồi ngay lập tức vay tài sản từ giao thức lending trước khi oracle kịp điều chỉnh. Đợt ba: họ lặp lại quy trình nhưng với quy mô gấp 3 lần, khai thác chính xác lỗ hổng mà họ đã xác nhận ở đợt đầu. Tổng thiệt hại: 4.2 triệu USD.
Điều thú vị là trong báo cáo quân sự, các nhà phân tích nhấn mạnh: “Mỹ đã thiết lập nhịp điệu tác chiến 24 giờ không chỉ để tối ưu hóa sức mạnh không quân, mà còn để gửi tín hiệu leo thang tới đối thủ”. Tương tự, kẻ tấn công DeFi cũng gửi tín hiệu – nhưng tín hiệu đó thường bị bỏ qua bởi các giao thức thiếu hệ thống phát hiện bất thường theo thời gian thực. Quan điểm của tôi: Các giao thức DeFi đang quá tập trung vào phòng thủ ở lớp smart contract, trong khi bỏ qua lớp chiến thuật – khả năng phát hiện và ứng phó với các cuộc tấn công theo cụm có cường độ tăng dần.
Một ví dụ khác từ kinh nghiệm kiểm toán của tôi: Trong quá trình review code cho Uniswap V2, tôi phát hiện một lỗ hổng trong cơ chế oracle giá – nó không chỉ đơn thuần là một bug, mà là một “điểm yếu chiến lược”. Nếu một kẻ tấn công có thể điều phối nhiều pool cùng lúc, họ có thể tạo ra một hiệu ứng domino: giảm thanh khoản ở pool A, ép giá trên pool B, và cuối cùng khai thác pool C. Đó là một dạng “tấn công đa hướng” tương tự như cách Mỹ phối hợp không kích từ nhiều căn cứ để làm tê liệt hệ thống phòng không Iran. Trong DeFi, các cầu nối cross-chain và các giao thức tổng hợp thanh khoản (aggregators) đang tạo ra những bề mặt tấn công mới cho loại chiến thuật này.
Contrarian
Góc nhìn phản trực giác: Tấn công kéo dài không phải lúc nào cũng xấu
Nghe có vẻ nghịch lý, nhưng một số cuộc tấn công kéo dài có thể có tác động tích cực đến hệ sinh thái. Trong báo cáo quân sự, có một điểm gây tranh luận: “Nếu chiến dịch kéo dài, nó sẽ làm lộ điểm yếu trong chuỗi cung ứng đạn dược của Mỹ”. DeFi cũng vậy. Khi một giao thức bị tấn công cụm, nó buộc cộng đồng phải đối mặt với những lỗ hổng tiềm ẩn mà các cuộc kiểm toán thông thường không phát hiện ra. Tôi từng chứng kiến một DAO bị tấn công qua continuous voting attack (tấn công biểu quyết liên tục) trong 72 giờ. Kết quả là họ buộc phải nâng cấp toàn bộ cơ chế vote từ linear voting sang quadratic voting, và sau đó DAO đó trở thành một trong những DAO có tỷ lệ tham gia cao nhất trong hệ sinh thái. Tấn công kéo dài, nếu được xử lý đúng cách, có thể là một ‘liều vaccine’ cho giao thức. Nó tiết lộ điểm mù trong thiết kế quản trị và thúc đẩy sự đổi mới.
Tuy nhiên, ranh giới giữa “liều vaccine” và “cái chết” rất mong manh. Báo cáo quân sự cảnh báo về “nguy cơ leo thang không kiểm soát” nếu Iran đáp trả mạnh. Tương tự, nếu giao thức không có cơ chế dừng khẩn cấp (circuit breaker) hoặc khả năng fork nhanh chóng, một cuộc tấn công cụm có thể dẫn đến mất hoàn toàn TVL và sự sụp đổ của token governance.
Takeaway
Tầm nhìn tiến bộ: Xây dựng hệ thống phòng thủ theo lớp chiến thuật
Câu hỏi đặt ra là: Làm thế nào để các giao thức DeFi có thể tự bảo vệ trước những cuộc tấn công kéo dài có tổ chức? Tôi cho rằng câu trả lời nằm ở việc xây dựng một “trung tâm chỉ huy phi tập trung” – một lớp giám sát on-chain có khả năng phát hiện các mẫu tấn công cụm (cluster patterns) và tự động kích hoạt các cơ chế giảm thiểu rủi ro như tạm dừng rút tiền (pause withdrawals) hoặc kích hoạt dự trữ thanh khoản khẩn cấp (emergency liquidity reserves). Các giao thức hiện tại quá phụ thuộc vào các kiểm toán viên (như tôi) và các nhóm bảo mật tập trung; nhưng trong một thế giới tiến tới quản trị phi tập trung thực sự, việc phòng thủ cũng phải phi tập trung.
Đã đến lúc chúng ta không chỉ viết mã an toàn hơn, mà còn thiết kế các giao thức có khả năng “chiến đấu” – tức là thích nghi và phản ứng theo thời gian thực trước các chiến dịch thông minh của kẻ tấn công. Giống như quân đội Mỹ đã học được từ chiến tranh Iraq rằng không có kế hoạch nào tồn tại được sau khi tiếp xúc với đối phương, trong DeFi, không có smart contract nào là an toàn mãi mãi. Chỉ có các hệ thống có khả năng học hỏi và tiến hóa mới có thể sống sót trong môi trường xung đột không ngừng này.