Gần đây lại thấy có người hỏi về vấn đề liên quan đến vay nén nhanh, nên cứ thế nói rõ hơn về chủ đề này.

Thực ra, vay nén nhanh đã tồn tại trong DeFi một thời gian rồi. Aave là nền tảng đầu tiên giới thiệu khái niệm này vào năm 2020, sau đó được các giao thức cho vay khác tiếp nhận dần. Nhiều người ban đầu bị thu hút bởi nó vì nó phá vỡ giới hạn của tài chính truyền thống — không cần thế chấp, không cần kiểm tra tín dụng, vẫn có thể vay được số tiền lớn. Nghe có vẻ hấp dẫn, nhưng cơ chế đằng sau lại khá tinh vi.

Nói đơn giản, vay nén nhanh là hình thức vay mượn không thế chấp, do hợp đồng thông minh thực hiện trong cùng một giao dịch trên một khối. Bạn vay tiền, phải trả lại trước khi giao dịch kết thúc, nếu không toàn bộ quá trình sẽ tự động bị đảo ngược, như chưa từng xảy ra chuyện gì. Chính nhờ thiết kế nguyên tử này, bên cho vay hoàn toàn không chịu rủi ro, nên mới có thể cho vay với điều kiện không rào cản.

Ban đầu, đây là một tính năng sáng tạo, hỗ trợ các hoạt động hợp pháp như arbitrage, quản lý thanh khoản. Nhưng bạn cũng đoán được, có người bắt đầu chơi trò xấu.

Tôi ấn tượng nhất là các vụ tấn công vay nén nhanh vào năm 2020. Có kẻ tấn công vay ETH qua vay nén nhanh từ dYdX, rồi phân tán số tiền này vào hai nền tảng Compound và Fulcrum. Trên Fulcrum, họ short ETH so với WBTC, đồng thời qua Kyber mua số lượng lớn WBTC từ Uniswap. Do thanh khoản WBTC trên Uniswap không đủ, thao tác này ngay lập tức đẩy giá WBTC lên cao. Kết quả, Fulcrum buộc phải mua WBTC với giá cao hơn thị trường, trong khi kẻ tấn công lợi dụng chênh lệch giá để arbitrage, không chỉ trả lại khoản vay ETH mà còn kiếm lời ròng.

Lại có một vụ tấn công khác nhắm vào giao thức bZX, kẻ tấn công dùng vay nén nhanh để mua sắm sUSD lớn trên Kyber, đẩy giá stablecoin từ 1 USD lên 2 USD. Vì hợp đồng thông minh chỉ nhìn vào giá trên chuỗi, không hiểu được giá trị thực của stablecoin, kẻ tấn công dùng sUSD gấp đôi để vay thêm ETH, cuối cùng bỏ chạy. Toàn bộ quá trình chỉ diễn ra trong một khối.

Những ví dụ này khiến nhiều người lo ngại rằng vay nén nhanh có thể trở thành “bom nổ chậm” của DeFi. Nhưng thực tế, các giải pháp phòng thủ cũng đang ngày càng hoàn thiện.

Giải pháp đơn giản nhất là dùng các oracles phi tập trung. Thay vì tin vào giá của một DEX duy nhất, ta tổng hợp “giá thực” từ nhiều nguồn dữ liệu khác nhau. Như vậy, dù có ai đó cố thao túng giá, oracle cũng có thể phát hiện điểm bất thường. Ngoài ra, còn có cách nâng cao tần suất cập nhật giá, để giá luôn mới nhất, giảm thời gian bị thao túng.

Cách tinh vi hơn là sử dụng phương pháp định giá trung bình theo thời gian (TWAP). Phương pháp này lấy trung bình giá của nhiều khối thay vì giá tức thời của một khối duy nhất, nên chi phí để thao túng TWAP sẽ cao hơn nhiều. Một số giao thức còn yêu cầu giao dịch phải vượt qua hai khối mới hoàn tất, điều này càng làm khó tấn công hơn.

Dĩ nhiên, khi các vụ tấn công vay nén nhanh ngày càng phức tạp, các cơ chế phòng thủ cũng liên tục nâng cấp. Hiện đã có một số giao thức tích hợp công cụ phát hiện tấn công, có thể phát hiện kịp thời các mô hình giao dịch bất thường.

Nói tóm lại, DeFi vẫn còn rất trẻ, vay nén nhanh không phải vấn đề cốt lõi, mà là cách thiết kế các giao thức an toàn hơn. Mỗi vụ tấn công đều thúc đẩy ngành tiến bộ hơn. Tin rằng, với các biện pháp phòng thủ ngày càng hoàn thiện, vay nén nhanh cuối cùng sẽ trở lại đúng với mục đích ban đầu — hỗ trợ các ứng dụng tài chính sáng tạo, chứ không phải là công cụ để hacker rút tiền.