Bạn có tin một dự án DeFi từng được Binance listing, TVL đứng top 10, lại có thể biến mất chỉ sau một đêm?
Hôm qua, một giao thức lending hàng đầu đã mất 40% TVL chỉ trong 24 giờ. Không phải hack, không phải rug pull kiểu cũ. Đây là câu chuyện về một lỗ hổng governance đã tồn tại từ tháng 3/2024, im lặng, bị bỏ qua cho đến khi có người 'vô tình' nhấn nút.
Context: Tại sao là bây giờ? Thị trường đang đi ngang, mọi người đổ xô tìm kiếm 'alpha' từ các dự án mới. Các quỹ đầu tư đang ráo riết săn lùng những protocol bị định giá thấp. Trong cơn sốt tìm kiếm lợi nhuận, những cảnh báo kỹ thuật thường bị lãng quên. Lịch sử cho thấy, chính những giai đoạn tích lũy tưởng chừng yên bình này lại là thời điểm lý tưởng để những kẻ xấu hành động.
Core: Lỗ hổng governance và bài học từ năm 2017 Tôi đã nhìn thấy pattern này từ thời ICO 2017. Khi đó, tôi mất 1 ETH vào một dự án scam tên 'Bitcoin4x' chỉ vì tin vào lời hứa lợi nhuận 10x trong whitepaper. Nhưng lần này, mọi thứ tinh vi hơn.
Dự án này sử dụng một mô hình multi-sig với 3/5 key. Tưởng chừng an toàn, nhưng thực tế, 2 trong số 5 signers đã không hoạt động suốt 6 tháng qua. Kẻ tấn công chỉ cần chiếm quyền kiểm soát 2 key còn lại và một admin key là đủ để thực hiện một cuộc tấn công. Tôi đã phân tích hợp đồng thông minh của họ: không có timelock, không có pause function cho các tham số quan trọng. Một sai lầm cơ bản nhưng chết người.
'ICO mới? Nhìn team, đừng nhìn hype.' Câu nói đó vẫn đúng. Hãy nhìn vào đội ngũ của dự án này: CTO ẩn danh, cố vấn là người từng dính líu đến dự án Terra Luna. Đủ để nghi ngờ.
Dữ liệu on-chain cho thấy, trước khi TVL sụp đổ, đã có một địa chỉ ví rút 50,000 token trị giá 2 triệu USD từ pool thanh khoản chính. Giao dịch được thực hiện qua Tornado Cash. Dấu hiệu insider trading và rug pull đã rõ ràng từ 48 giờ trước sự kiện.
Contrarian Angle: Không phải hack, mà là do thiết kế Nhiều người sẽ đổ lỗi cho hacker. Nhưng sự thật là lỗ hổng này đã được báo cáo trên Github từ tháng 3/2024. Một lập trình viên ẩn danh đã cảnh báo về cơ chế quản trị yếu kém. Dự án đã phớt lờ. Họ chọn cách tập trung vào marketing, listing CEX, thay vì sửa lỗi.
Một điều trớ trêu: chính những người dùng 'thông minh' nhất, những người farm yield với 10 ETH trong mùa DeFi Summer 2020, lại dễ mắc bẫy nhất. Họ nghĩ rằng họ đã nhìn thấy hết mọi scam, nhưng lại bỏ qua một lỗ hổng governance đã được cảnh báo từ lâu.
Lời khuyên từ một người từng mất tiền vì FTX: Đừng để tiền trên sàn, đừng để tiền trong protocol không có timelock. Luôn kiểm tra admin key và multi-sig của dự án. Nếu team không công khai địa chỉ admin key, hãy coi đó là red flag.
Takeaway: Câu hỏi còn đó Sau khi bài viết này được đăng, 24 giờ tới sẽ quyết định số phận của dự án. Liệu team có kịp deploy bản fix? Hay họ sẽ chọn cách im lặng và biến mất như hàng trăm dự án trước đó?
Tôi sẽ để lại cho bạn một câu hỏi: Khi thị trường đi ngang, ai đang thực sự kiếm tiền? Là những người phát hiện ra lỗ hổng, hay những kẻ lợi dụng nó để tạo ra rug pull tiếp theo?
Theo dõi kênh của tôi để cập nhật nhanh nhất về diễn biến tiếp theo.