Hiểu về Khoản vay nhanh: Đổi mới thú vị nhưng rủi ro nhất của DeFi

TL;DR Hãy tưởng tượng việc vay tiền mà không cần tài sản thế chấp, kiểm tra tín dụng hay bảo lãnh cá nhân—chỉ có một điều kiện: bạn phải trả lại trong cùng một giao dịch blockchain. Đây là những gì các khoản vay chớp nhoáng cho phép. Mặc dù khái niệm này có vẻ không thực tế, nhưng chúng mở ra cơ hội arbitrage và làm lộ ra những điểm yếu quan trọng trong các giao thức DeFi. Tuy nhiên, chúng cũng cho thấy cách mà những kẻ tấn công có thể khai thác dễ dàng các hợp đồng thông minh được thiết kế yếu.

Giới thiệu: Nghịch lý của việc vay không cần tài sản đảm bảo

Phong trào tài chính phi tập trung hứa hẹn sẽ làm gián đoạn ngân hàng truyền thống bằng cách xây dựng các hệ thống tài chính không cần phép trên các mạng blockchain. Ngoài những chuyển tiền đơn giản mà Bitcoin đã tiên phong, DeFi giới thiệu một lớp tinh vi hơn: cho vay không cần tin cậy, sàn giao dịch phi tập trung, và stablecoin thuật toán theo dõi giá tài sản thực.

Trong hệ sinh thái này, vay chớp nhoáng đại diện cho một trong những đổi mới nghịch lý nhất. Chúng thách thức tri thức thông thường về cho vay: làm thế nào bạn có thể cho vay tiền một cách an toàn mà không biết người vay? Làm thế nào bạn có thể đảm bảo việc hoàn trả mà không có tài sản đảm bảo? Câu trả lời nằm ở hợp đồng được thực thi bằng mã và bản chất nguyên tử của các giao dịch blockchain.

Cuộc khám phá này đi sâu vào cơ chế của các khoản vay chớp nhoáng, các ứng dụng hợp pháp của chúng và những cuộc tấn công đáng lo ngại đã khai thác chúng.

Cho vay truyền thống: Một cái nhìn tổng quan nhanh chóng

Để hiểu được điều gì làm cho các khoản vay chớp nhoáng trở nên cách mạng, điều quan trọng là phải hiểu cấu trúc khoản vay thông thường.

Cho vay không đảm bảo và Đánh giá tín dụng

Một khoản vay không có bảo đảm không yêu cầu tài sản thế chấp - chỉ cần một lời hứa sẽ trả lại. Các ngân hàng đánh giá khả năng tín dụng của bạn thông qua điểm tín dụng và lịch sử thanh toán. Nếu bạn đã thanh toán các khoản nợ trước đó một cách đáng tin cậy, họ sẽ cho rằng bạn sẽ làm như vậy một lần nữa và cho bạn vay tiền với lãi suất tương ứng với rủi ro được đánh giá.

Cân nhắc việc vay $3,000 từ một người bạn để mua một thứ gì đó khẩn cấp. Nếu người bạn đó tin tưởng vào tính cách của bạn, họ có thể không tính lãi suất. Tuy nhiên, một người lạ sẽ yêu cầu hoặc tài sản thế chấp hoặc bằng chứng về độ tin cậy của bạn. Các tổ chức tài chính yêu cầu kiểm tra tín dụng để thực hiện đánh giá này. Những người được coi là đáng tin cậy sẽ nhận được mức lãi suất tốt hơn; những người khác sẽ phải đối mặt với mức lãi suất cao hoặc bị từ chối hoàn toàn.

Cho Vay Được Bảo Đảm Qua Tài Sản Thế Chấp

Đối với các khoản vay lớn hơn, ngay cả khi có tín dụng tốt cũng có thể không đủ. Các nhà cho vay yêu cầu tài sản đảm bảo—một tài sản mà bạn sẽ mất nếu bạn không trả nợ. Điều này giảm thiểu rủi ro của họ. Vay 50,000 đô la cho một chiếc xe, chẳng hạn, thường yêu cầu bạn phải cam kết chiếc xe đó làm tài sản đảm bảo. Nếu bạn không trả được nợ, người cho vay sẽ tịch thu và bán nó để thu hồi tổn thất.

Tài sản đảm bảo là một công cụ giảm thiểu rủi ro. Nó biến một lời hứa trừu tượng thành một yêu cầu cụ thể đối với tài sản của bạn.

Cách mà Flash Loans Đảo Ngược Mô Hình Cho Vay

Cho vay nhanh không cần kiểm tra tín dụng và tài sản đảm bảo. Thay vào đó, chúng thực thi việc hoàn trả thông qua mã và tính nguyên tử của giao dịch - nguyên tắc rằng một giao dịch có thể hoàn thành hoàn toàn hoặc hoàn toàn thất bại, hoàn trả tất cả các thay đổi.

Cơ chế: Một giao dịch ba phần

Một khoản vay chớp nhoáng hoạt động trong một giao dịch blockchain duy nhất được cấu trúc thành ba giai đoạn:

1. Nhận: Hợp đồng thông minh cấp cho bạn số tiền vay.
2. Thực hiện: Bạn thực hiện bất kỳ hành động nào bạn muốn với những khoản tiền đó—gọi các hợp đồng khác, tương tác với các giao thức, thực hiện giao dịch.
3. Hoàn trả: Trước khi giao dịch kết thúc, bạn phải trả lại khoản vay cộng với phí.

Nếu việc trả nợ thất bại, toàn bộ giao dịch sẽ bị đảo ngược, như thể khoản vay chưa từng xảy ra. Từ quan điểm của blockchain, người cho vay luôn giữ được số tiền của họ. Bảo đảm được thực thi bằng mã này loại bỏ nhu cầu về tài sản thế chấp hoặc đánh giá tín dụng.

Tại sao mô hình này hoạt động

Người cho vay chấp nhận không cần tài sản đảm bảo vì chính giao thức đảm bảo việc hoàn trả. Bạn không thể giữ lại số tiền đã vay mà không trả lại chúng—các phép toán của blockchain sẽ không cho phép điều đó. Việc vỡ nợ không phải là một khả năng; đó là một điều không thể về mặt kỹ thuật. Điều này làm cho các khoản vay chớp nhoáng trở nên có rủi ro remarkably thấp cho người cho vay trong khi không yêu cầu bất kỳ thông tin nào từ người vay.

Tại sao ai cũng sẽ vay cho giây

Câu hỏi rõ ràng: bạn có thể đạt được điều gì trong một giao dịch mà biện minh cho một khoản vay chớp nhoáng?

Câu trả lời xoay quanh arbitrage—khai thác sự khác biệt về giá giữa các nền tảng. Giả sử một token có giá $10 trên một sàn giao dịch phi tập trung nhưng $10.50 trên một sàn khác. Mua 1,000 token trên nền tảng rẻ hơn và bán chúng trên nền tảng đắt hơn sẽ mang lại lợi nhuận $500 trước phí (. Kích thước điều này lên 10,000 token, và bạn bỏ túi $5,000—giả sử giá không sụp đổ do khối lượng giao dịch của bạn.

Thông thường, bạn sẽ cần 100.000 đô la vốn để thực hiện giao dịch này. Các khoản vay nhanh loại bỏ yêu cầu đó. Bạn vay 100.000 đô la, thực hiện các giao dịch chênh lệch giá trong một giao dịch duy nhất, trả lại khoản vay cộng với lãi suất và bỏ túi số tiền chênh lệch.

) Thực tế thực tiễn

Về lý thuyết, điều này nghe có vẻ hấp dẫn. Trong thực tế, biên độ chênh lệch giá đã giảm mạnh:

• Phí giao dịch trên Ethereum tiêu tốn lợi nhuận nhỏ.
• Cạnh tranh từ hàng ngàn nhà giao dịch khác làm cho sự chênh lệch giá biến mất trong vòng vài giây.
• Slippage—sự biến động giá do lệnh lớn của bạn—giảm lợi nhuận.
• Lãi suất trên các khoản vay nhanh càng làm giảm biên của bạn.

Chênh lệch giá từ vay flash có lợi nhuận yêu cầu tìm kiếm những sai lệch giá thực sự mà tồn tại trước những cản trở này, một sự kiện ngày càng hiếm gặp.

Vector Tấn Công: Cách Các Khoản Vay Nhanh Trở Thành Vũ Khí

Mặc dù các khoản vay chớp nhoáng có những ứng dụng hợp pháp, nhưng chúng cũng đã trở thành công cụ cho những cuộc tấn công tinh vi. Chi phí thấp để vay số tiền khổng lồ - vượt xa số tiền mà kẻ tấn công thường có thể chi trả - đã cho phép các cuộc tấn công mà trước đây sẽ yêu cầu vốn lớn.

Cuộc tấn công lớn đầu tiên

Vào đầu năm 2020, một kẻ tấn công đã sử dụng nhiều giao thức DeFi đồng thời. Cuộc tấn công diễn ra như sau:

Kẻ phạm tội đã vay một lượng lớn Ethereum qua dYdX, sau đó phân phối chiến lược các phần qua Compound và Fulcrum ###, giao thức được xây dựng trên bZx(. Trên Fulcrum, họ đã bán khống ETH chống lại Bitcoin gói, buộc Fulcrum phải mua WBTC. Việc mua này đã chảy qua Kyber đến Uniswap, DEX lớn nhất của Ethereum vào thời điểm đó.

Tính thanh khoản hạn chế của Uniswap có nghĩa là việc mua WBTC lớn của Fulcrum đã làm tăng đáng kể giá. Trong khi đó, kẻ tấn công đã nhận được một khoản vay Compound bằng WBTC sử dụng ETH đã vay ban đầu và ngay lập tức bán nó trên Uniswap với giá đã bị thao túng—mang lại lợi nhuận đáng kể.

Lỗi? bZx dựa vào các nguồn giá mà không tính đến việc thao túng. Bằng cách thổi phồng giá WBTC một cách nhân tạo, kẻ tấn công đã lừa giao thức cho phép vay mượn quá mức, cuối cùng thu lợi từ khoảng cách giá mà chính họ đã tạo ra.

) Cuộc Tấn Công Thứ Hai: Khai Thác Cơ Chế Stablecoin

Vài ngày sau, bZx lại gặp khó khăn. Lần này, kẻ tấn công đã vay ETH thông qua khoản vay chớp nhoáng và chuyển đổi nó thành sUSD ###, một stablecoin lý thuyết có giá trị $1(. Kẻ tấn công sau đó đã đặt một lệnh mua lớn cho sUSD trên Kyber, đẩy giá của nó lên $2.

Hợp đồng thông minh của bZx, thiếu trí tuệ giá thực sự, đã chấp nhận sự định giá gấp đôi này. Kẻ tấn công sau đó đã vay nhiều ETH hơn mức bình thường cho phép—)sUSD của họ giờ đây có sức mua được cho là $2. Sau khi trả lại khoản vay chớp nhoáng ban đầu, họ đã trốn thoát với lợi nhuận đáng kể.

Lỗ hổng hệ thống

Các cuộc tấn công này tiết lộ một điểm yếu nghiêm trọng: nhiều giao thức DeFi phụ thuộc vào các oracle giá—các nguồn dữ liệu báo cáo giá tài sản. Khi các oracle đó bị thao túng hoặc thiếu tính dự phòng, kẻ tấn công khai thác khoảng trống.

Điều quan trọng là, các khoản vay nhanh không phải là một vấn đề vốn có. Chúng là cơ chế tài chính cho các cuộc tấn công, không phải là những lỗ hổng đang bị khai thác. Vấn đề thực sự nằm ở:

• Thiết kế oracle yếu
• Sự phụ thuộc quá mức vào các nguồn giá đơn lẻ
• Kiểm tra không đủ về số tiền vay so với tài sản đảm bảo
• Thiếu các biện pháp bảo vệ chống lại các biến động giá cực đoan

Vay chớp đã dân chủ hóa quyền truy cập vào việc thao túng thị trường. Trước đây, thao túng yêu cầu phải là cá voi—một người có hàng trăm triệu vốn—vay chớp cho phép bất kỳ ai truy cập vào sức mạnh đó chỉ trong vài giây. Và như đã chứng minh, vài giây là đủ.

Đánh giá rủi ro

Các khoản vay nhanh có nguy hiểm không? Câu trả lời phụ thuộc vào quan điểm.

Đối với người dùng hợp pháp, họ mang lại những khả năng thú vị khi không gian DeFi trưởng thành. Các nhà phát triển đang dần củng cố các giao thức để chống lại sự thao túng oracle, triển khai các công tắc ngắt, và thiết kế các nguồn cấp giá mạnh mẽ hơn.

Đối với hệ sinh thái, các khoản vay chớp nhoáng tự chúng có rủi ro tối thiểu. Chúng là một yếu tố tài chính - trung lập về bản chất. Rủi ro phát sinh từ những triển khai sai lầm trong các giao thức khác. Khi không gian học hỏi từ các cuộc tấn công trước đó, các biện pháp phòng thủ được cải thiện.

Đối với những kẻ tấn công, các khoản vay chớp nhoáng vẫn hấp dẫn chính vì chúng rẻ và mạnh mẽ. Tuy nhiên, sự nhận thức tăng lên và các thực hành bảo mật tốt hơn đang giảm tính khả thi của việc khai thác.

Kết luận: Một công cụ mới với những khó khăn trong quá trình phát triển

Vay nhanh đại diện cho một đổi mới độc đáo trong tài chính blockchain - một cơ chế cho vay không thể thực hiện trong các hệ thống truyền thống. Chúng minh họa cho cách tiếp cận sáng tạo của DeFi đối với các nguyên tắc tài chính, cho phép các ứng dụng mới trong khi đồng thời phơi bày các lỗ hổng của giao thức.

Các cuộc tấn công vào năm 2020 không phải là sự thất bại của các khoản vay chớp nhoáng mà là sự làm sáng tỏ những điểm yếu khác trong hệ sinh thái. Khi DeFi phát triển, thiết kế oracle mạnh mẽ hơn và các cuộc kiểm toán bảo mật nghiêm ngặt hơn sẽ giảm cơ hội khai thác. Các khoản vay chớp nhoáng có khả năng phát triển thành một công cụ tiêu chuẩn cho việc chênh lệch hợp pháp và các ứng dụng khác mà các nhà phát triển chưa nghĩ ra.

Hiện tại, chúng phục vụ như một câu chuyện cảnh báo: trong một hệ sinh thái không cần sự cho phép, mọi khả năng mới đều có thể bị vũ khí hóa—trừ khi các giao thức được xây dựng với độ nghiêm ngặt và phòng thủ đủ sâu ngay từ đầu.