Người dùng giao thức Pac Finance dựa trên Blast đã quay cuồng vào thứ Năm sau khi một sự thay đổi mã đột ngột gây ra thiệt hại hàng triệu đô la, chỉ ra một vấn đề trong mã phần mềm có thể được cập nhật trên nền tảng DeFi.
Vào khoảng 1 giờ sáng giờ Luân Đôn ngày 11 tháng 4, một người nào đó có quyền truy cập vào ví quản trị của Pac Finance đã nâng cấp mã của giao thức, giảm ngưỡng mà giao thức thanh lý tài sản thế chấp của người dùng.
Chỉ trong vài giây sau khi thay đổi, hơn chục nhà giao dịch đang sử dụng Pac Finance để “tận dụng trang trại” token ezETH của Renzo đã bị thanh lý tài sản thế chấp, gây thiệt hại 26 triệu USD.
Canh tác đòn bẩy là một chiến lược rủi ro trong đó người dùng lặp lại các khoản tiền gửi – thường là đặt cọc chất lỏng Ether và đặt lại mã thông báo – để tăng lợi nhuận kiếm được từ chúng.
“Đây là kết quả của việc ngưỡng thanh lý bị thay đổi bất ngờ mà không thông báo trước cho nhóm của chúng tôi,” Pac Finance cho biết trên X.
“Trong tương lai, chúng tôi sẽ thiết lập hợp đồng quản trị/khóa thời gian và diễn đàn cho tất cả các nâng cấp trong tương lai để đảm bảo rằng các cuộc thảo luận được lên kế hoạch trước và điều này không xảy ra nữa”.
Vụ việc nêu bật nguy cơ mã có thể nâng cấp trong các giao thức DeFi. Nếu một giao thức chọn giữ cho mã của nó có thể nâng cấp được thì những người có quyền có thể thay đổi các quy tắc chi phối giao thức đó bất cứ lúc nào — thường không có cảnh báo.
Không phải tất cả các giao thức DeFi đều cho phép nâng cấp mã. Uniswap, Curve Finance và nhiều giao thức khác làm cho mã của chúng trở nên bất biến, nghĩa là một khi nó được triển khai trên blockchain thì nó không thể bị thay đổi trở về trước.
“Việc thiết kế một giao thức cho vay cho phép [tài khoản thuộc sở hữu bên ngoài] tùy ý thay đổi ngưỡng thanh lý mà không cần khóa thời gian không chỉ là thiết kế kém; điều đó thật vô trách nhiệm”, Kydo, một nhà nghiên cứu tại việc thiết lập lại giao thức EigenLayer, đã viết trên X.
Việc thanh lý cũng như việc rút tiền từ những người dùng liên quan đã đẩy tổng giá trị bị khóa hoặc TVL của Pac Finance giảm hơn 50% .
Pac Finance đã không trả lời ngay lập tức yêu cầu bình luận.
Một ‘vấn đề cơ bản’
Pac Finance là một nhánh của Aave, giao thức cho vay lớn nhất trong DeFi với số tiền gửi 11,2 tỷ USD.
Phân nhánh là nơi nhóm nhà phát triển sử dụng mã nguồn mở từ giao thức DeFi hiện có để khởi chạy một giao thức tương tự – thường trên một blockchain khác hoặc có những thay đổi nhỏ.
Stani Kulechov, người sáng lập và Giám đốc điều hành của Avara, công ty đứng sau giao thức Aave, đổ lỗi cho sự cố là do các nhà phát triển Pac Finance không hiểu cơ sở mã mà họ sử dụng để tạo ra giao thức.
Kulechov cho biết trong một bài đăng X : “Vấn đề cơ bản với việc giả mạo mã là thiếu kiến thức chuyên sâu về phần mềm và các thông số”.
Và Pac Finance không phải là lần đầu tiên fork gây ra sự cố trong DeFi.
Một số nhánh của giao thức cho vay Hợp chất đã bị tấn công do lỗ hổng mã, dẫn đến thiệt hại hàng triệu đô la. Giao thức Onyx, bị khai thác vào tháng 11 với giá 2,1 triệu USD, là nạn nhân gần đây nhất.
Mặc dù các lỗ hổng đã được tính toán và sửa trong Hợp chất, nhưng những kẻ phân nhánh mã của giao thức không biết về các lỗ hổng.