4 月多起 DeFi 攻擊事件後, thảo luận về an ninh của ngành tài chính phi tập trung đang xuất hiện sự chuyển hướng rõ rệt. Trong quá khứ, các giao thức DeFi thường được soi xét nhiều nhất về việc liệu hợp đồng thông minh có được kiểm toán hay không, và liệu trong mã nguồn có lỗ hổng hay không; nhưng người sáng lập Flying Tulip là Andre Cronje gần đây trả lời phỏng vấn Cointelegraph rằng rủi ro của nhiều giao thức DeFi ngày nay không còn chỉ nằm ở mã nguồn trên chuỗi, mà đến từ quyền nâng cấp, quản trị đa chữ ký, hạ tầng ngoài chuỗi và quy trình vận hành của đội ngũ.
DeFi đã không còn là mã nguồn không thể can thiệp
Cronje thẳng thắn cho rằng nếu dựa trên định nghĩa nghiêm ngặt về “phi tập trung, bất biến, không cần niềm tin” của DeFi thời kỳ đầu, thì hiện nay nhiều giao thức thực chất đã không thể được gọi là DeFi thuần túy nữa. Ông thậm chí còn đưa Flying Tulip vào phán xét này, nói rằng ngành hiện tại giống hơn với các dịch vụ tài chính vì lợi nhuận do đội ngũ vận hành, hơn là một hạ tầng tài chính công hoàn toàn bất biến.
Ông nói: “Tôi nghĩ những gì chúng ta đang có ngày hôm nay, bao gồm cả Flying Tulip, đã không còn là DeFi nữa. Nó không phải là tài chính phi tập trung, cũng không phải là mã nguồn không thể làm sai lệch, mà là hoạt động kinh doanh vì lợi nhuận do đội ngũ vận hành.”
Quan điểm này chạm đến thực tế khó xử nhất của ngành DeFi hiện nay: nhiều giao thức vẫn dùng câu chuyện, định giá và ngôn ngữ thương hiệu của DeFi, nhưng trên thực tế vận hành đã từ lâu phụ thuộc vào sự kiểm soát lớn của con người và các quy trình ngoài chuỗi.
Rủi ro lớn nhất của DeFi không còn chỉ là lỗ hổng hợp đồng
Cronje cho rằng mô hình an ninh của DeFi thời kỳ đầu tương đối đơn giản: sau khi triển khai giao thức, hợp đồng thông minh không thể thay đổi, và người dùng chủ yếu gánh rủi ro về logic của mã. Nhưng hiện nay hệ thống DeFi thường phức tạp hơn nhiều: giao thức có thể dùng proxy upgrade để nâng cấp hợp đồng, quản lý các quyền hạn quan trọng thông qua multisig, phụ thuộc nhà cung cấp hạ tầng bên ngoài, và khi xảy ra sự cố thì do đội ngũ nòng cốt thực hiện phản ứng khủng hoảng.
Điều này khiến vấn đề an ninh mở rộng từ “có bug trong mã hay không” sang “ai có quyền nâng cấp hợp đồng”, “ai nắm đa chữ ký”, “liệu time lock có đủ hay không”, “liệu máy chủ ngoài chuỗi hoặc giao diện quản trị có thể bị tấn công hay không”, “liệu đội ngũ có phản ứng đúng trong tình huống bất thường hay không”.
Cronje chỉ ra rằng trước đây ngành vẫn quá tập trung vào kiểm toán hợp đồng thông minh, nhưng các cuộc tấn công gần đây lại giống các vấn đề an ninh của Web2 truyền thống hơn hoặc TradFi, ví dụ như quyền truy cập hạ tầng bị xâm nhập, tấn công kỹ thuật xã hội, quy trình quản trị bị lạm dụng, hoặc bị phá vỡ một nút quyền hạn duy nhất.
Nói cách khác, DeFi không phải không cần kiểm toán, mà là chỉ kiểm toán thôi đã không đủ. Khi một giao thức có thể được nâng cấp, có thể được quản trị và có thể bị con người can thiệp, thì nó phải thừa nhận rằng mình cũng đối mặt rủi ro vận hành mà các tổ chức tài chính truyền thống gặp phải.
Flying Tulip thêm cơ chế ngắt mạch rút tiền
Trong bối cảnh đó, Flying Tulip gần đây đã bổ sung cơ chế ngắt mạch rút tiền (withdrawal circuit breaker). Cơ chế này cho phép giao thức, khi phát hiện dòng tiền rút bất thường, có thể trì hoãn hoặc xếp hàng xử lý việc rút. Cronje nhấn mạnh rằng cơ chế này không phải để ngăn người dùng rút tiền vĩnh viễn, cũng không phải để đội ngũ tùy ý đóng băng quỹ, mà là để giành một “cửa sổ phản ứng” ngắn trong tình huống bất thường.
Lấy Flying Tulip làm ví dụ, cơ chế này có thể giúp đội ngũ có thêm khoảng 6 giờ. Cronje cho rằng nếu quy mô đội ngũ nhỏ và thành viên không phân bổ đủ toàn cầu, thì có thể cần 12 đến 24 giờ, thậm chí lâu hơn, để hoàn tất xác nhận nội bộ, ký kết và ứng phó khi cuộc tấn công xảy ra.
Logic của thiết kế này khá giống với việc tạm dừng giao dịch hoặc các cổng kiểm soát rủi ro trong thị trường tài chính truyền thống: khi hệ thống gặp thanh khoản bất thường hoặc dòng chảy tài sản ra ngoài, không phải lập tức kết luận rằng mọi giao dịch đều vô hiệu, mà trước tiên để hệ thống chậm lại, tránh việc kẻ tấn công chỉ trong vài phút có thể chuyển đi toàn bộ tiền.
Tuy nhiên, Cronje cũng nhấn mạnh rằng cơ chế ngắt mạch chỉ là một phần trong kiến trúc an ninh nhiều lớp, không thể xem như “vạn năng”. Biện pháp bảo vệ thực sự vẫn phải bao gồm kiểm toán, đa chữ ký phân t tán, time lock, quy trình quản trị, cơ chế giám sát và kiểm soát quyền hạn.
Chi phí của cơ chế ngắt mạch: bảo vệ người dùng hay tạo “cửa hậu” tập trung mới?
Tuy nhiên, cơ chế ngắt mạch ngay lập tức cũng gây ra tranh luận về đường hướng trong cộng đồng phát triển DeFi. Người sáng lập Curve Finance và Yield Basis là Michael Egorov đồng ý rằng các cuộc tấn công gần đây đúng là đã phơi bày rủi ro tập trung ngoài chuỗi, nhưng ông tỏ ra cảnh giác cao độ với giải pháp “tăng kiểm soát khẩn cấp do con người đặt ra”.
Egorov cho biết nhiều sự kiện DeFi lớn gần đây không phải do bản thân hợp đồng thông minh bị phá hủy, mà đến từ lỗi đơn điểm ngoài chuỗi. Ông lấy ví dụ liên quan đến rsETH, nói rằng các hợp đồng thông minh của Aave, Kelp và LayerZero không bị hack, vấn đề thực sự nằm ở hạ tầng ngoài chuỗi.
Vì vậy, theo Egorov, nếu rủi ro lớn nhất vốn đã xuất phát từ con người và quyền hạn ngoài chuỗi, thì việc thêm cơ chế ngắt mạch cũng do con người kiểm soát có thể chỉ là chuyển thêm quyền lực sang tay một nhóm ít người ký hoặc quản trị viên.
Egorov lo ngại rằng nếu quyền kiểm soát khẩn cấp cho phép người ký sửa hợp đồng, tạm dừng rút tiền hoặc can thiệp vào dòng chảy vốn, thì khi người ký bị tấn công, cơ chế vốn dùng để bảo vệ người dùng có thể trở thành công cụ để hacker rút cạn tiền, hoặc thành “cửa hậu” đóng băng tài sản theo kiểu tập trung. Kết luận của ông là thiết kế DeFi nên giảm thiểu lỗi đơn điểm do con người gây ra, thay vì dùng thêm quyền hạn do con người nắm giữ để giải quyết vấn đề do con người gây ra.
DeFi phải thừa nhận mình đang trở thành cái gì
Sự bất đồng giữa Cronje và Egorov bề ngoài là tranh cãi về cơ chế ngắt mạch, nhưng thực chất là tranh cãi về bản sắc DeFi. Lập trường của Cronje nghiêng về chủ nghĩa hiện thực: khi nhiều giao thức đã không còn là hợp đồng bất biến mà là sản phẩm tài chính có quyền nâng cấp, quy trình quản trị và vận hành đội ngũ, thì cần thừa nhận thực tế đó và đưa vào các mức kiểm soát rủi ro tương ứng.
Egorov lại gần với những người theo chủ nghĩa thuần túy DeFi hơn: nếu an ninh của DeFi đến từ phi tập trung, thì giải pháp không nên là trao thêm quyền kiểm soát cho con người, mà là thiết kế hệ thống ít phụ thuộc vào can thiệp thủ công.
Hai bên thực ra đều thừa nhận một điều: vấn đề lớn nhất của DeFi hiện nay không chỉ là việc viết hợp đồng tốt hay không, mà là người dùng rốt cuộc đang tin ai. Nếu một giao thức có thể được nâng cấp, có thể tạm dừng, có thể xếp hàng rút tiền, và có thể thay đổi logic cốt lõi thông qua đa chữ ký, thì rủi ro mà người dùng gánh không còn chỉ là rủi ro hợp đồng thông minh, mà là rủi ro quản trị đội ngũ, rủi ro người ký, rủi ro hạ tầng và rủi ro vận hành.
Bài viết này DeFi còn phi tập trung không? Andre Cronje: Thừa nhận đi, đa số giao thức là mã nguồn có thể bị can thiệp
Lần đầu xuất hiện trên 鏈新聞 ABMedia.
