Giao diện DeFi đang gặp nguy hiểm: Các cuộc tấn công DNS phơi bày điểm yếu trong hạ tầng Tài chính Phi tập trung

Aerodrome Finance và Velodrome, hai sàn giao dịch phi tập trung lớn hoạt động trên mạng lưới Ethereum Layer 2 là Base và Optimism tương ứng, đã trở thành nạn nhân của một vụ vi phạm bảo mật tinh vi vào cuối tuần qua. Cuộc tấn công khai thác một lỗ hổng nghiêm trọng trong hệ thống tên miền (DNS), chuyển hướng người dùng không cảnh giác đến các trang web giả mạo nhằm thu thập phê duyệt ví và đánh cắp tài sản kỹ thuật số. Mặc dù các giao thức cốt lõi vẫn còn nguyên vẹn, vụ việc này là một lời nhắc nhở rõ ràng rằng những lỗ hổng nguy hiểm nhất của DeFi thường không nằm ở hợp đồng thông minh, mà ở hạ tầng tập trung hỗ trợ chúng.

Cuộc tấn công: Cách người dùng bị mắc kẹt

Vụ vi phạm diễn ra qua một chiến dịch chiếm đoạt DNS phối hợp, lợi dụng các điểm yếu của các nhà đăng ký tên miền tập trung. Kẻ tấn công đã thành công trong việc chuyển hướng lưu lượng từ các tên miền hợp pháp như aerodrome.finance và aerodrome.box đến các bản sao độc hại, với giao diện gần như giống hệt nền tảng gốc. Người dùng truy cập các trang giả mạo này gặp phải một cuộc tấn công xã hội đa giai đoạn: yêu cầu ký giả mạo vô hại ban đầu, theo sau là các lời nhắc thúc giục phê duyệt chuyển NFT, ETH, và stablecoin.

Sự tinh vi của cuộc tấn công nằm ở cách tiếp cận theo lớp. Thay vì nhắm vào các hợp đồng thông minh nền tảng — điều đòi hỏi phải phá vỡ bảo mật mã hóa — kẻ tấn công khai thác vào lớp con người bằng cách xâm phạm những gì người dùng tin là cổng chính thức của các giao thức này. Việc chiếm đoạt DNS này bỏ qua hoàn toàn các biện pháp bảo vệ kỹ thuật, một lần nữa chứng minh rằng ngay cả các giao thức blockchain an toàn nhất cũng vẫn dễ bị tổn thương khi giao diện người dùng của chúng bị xâm phạm.

Hạ tầng DNS thông minh: Lỗ hổng bị bỏ qua

Khác với các cuộc tấn công trên chuỗi yêu cầu phá vỡ bảo mật của các giao thức, các lỗ hổng DNS tấn công vào lớp cổng trung tâm tập trung. Quản lý DNS thông minh đã trở thành một thành phần quan trọng nhưng thường bị đánh giá thấp trong kiến trúc bảo mật của DeFi. Các cuộc tấn công vào Aerodrome và Velodrome đã phơi bày cách dựa vào các nhà đăng ký tên miền tập trung tạo ra một điểm thất bại duy nhất cho các nền tảng vốn dĩ phi tập trung.

Thời điểm xảy ra cuộc tấn công càng trở nên nghiêm trọng khi Aerodrome vừa mới công bố kế hoạch hợp nhất với Velodrome dưới một hệ sinh thái “Aero” thống nhất, nhằm hợp nhất thanh khoản trên cả mạng Base và Optimism. Thay vì ăn mừng cột mốc chiến lược này, cả hai dự án buộc phải chuyển sang chế độ xử lý khủng hoảng, cảnh báo công khai người dùng bỏ qua các tên miền tập trung và chuyển sang các lựa chọn phi tập trung như aero.drome.eth.limo.

Đây không phải lần đầu các sàn giao dịch này đối mặt với các mối đe dọa như vậy. Vào cuối năm 2023, các vi phạm giao diện người dùng tương tự đã gây thiệt hại vượt quá 300.000 USD cho người dùng bị ảnh hưởng — một mô hình cho thấy các lỗ hổng hệ thống hơn là các sự cố riêng lẻ.

Ảnh hưởng đến người dùng và Hậu quả ngay lập tức

Dù có cảnh báo về an ninh, niềm tin của thị trường vào các dự án vẫn khá bền bỉ. Token AERO, tài sản gốc của hệ sinh thái hợp nhất, giao dịch ở mức 0.57 USD với mức tăng 24 giờ là +5.51%, cho thấy các nhà đầu tư xem vụ vi phạm như một sự cố có thể kiểm soát được chứ không phải là thất bại nền tảng căn bản.

Nhóm phát triển Aerodrome, phối hợp cùng nhà cung cấp tên miền My.box, đã nhanh chóng hành động để hạn chế thiệt hại. Họ vô hiệu hóa truy cập vào các tên miền bị xâm phạm và chuyển hướng người dùng đến các bản sao phi tập trung và các giải pháp dựa trên ENS. Velodrome cũng đưa ra hướng dẫn tương tự, nhấn mạnh rằng các pool thanh khoản và dự trữ giao thức của họ vẫn hoàn toàn an toàn — chỉ có giao diện người dùng bị xâm phạm.

Bảo vệ tài sản: Các hành động cần thiết cho người dùng

Cả hai sàn đều khuyến nghị người dùng bị ảnh hưởng thực hiện các biện pháp phòng thủ ngay lập tức. Khuyến nghị chính là thu hồi các quyền token gần đây qua các dịch vụ như Revoke.cash, nhằm chặn mọi đường dẫn truy cập trái phép mà kẻ tấn công có thể đã thiết lập trong thời gian xảy ra vụ vi phạm.

Các bước bảo vệ chính bao gồm:

• Ngay lập tức thu hồi các quyền phê duyệt cho các hợp đồng đáng ngờ
• Tránh các tên miền tập trung và thay vào đó sử dụng các lựa chọn phi tập trung
• Xác minh URL qua các kênh chính thức (Twitter, Discord) trước khi truy cập giao diện giao dịch
• Sử dụng ví phần cứng cho các giao dịch có giá trị cao khi có thể

Bức tranh lớn hơn: Tập trung vẫn là điểm yếu của DeFi

Sự cố này làm sáng tỏ một nghịch lý cơ bản trong tài chính phi tập trung: các giao thức ngày càng trở nên phi tập trung và an toàn hơn, nhưng trải nghiệm người dùng vẫn còn phụ thuộc vào hạ tầng tập trung. Các nhà cung cấp DNS, nhà đăng ký tên miền và dịch vụ lưu trữ web là các điểm tập trung mà kẻ tấn công có thể khai thác mà không cần chạm vào các cơ chế bảo mật trên chuỗi.

Tính chất phối hợp của các cuộc tấn công này — đồng thời tấn công hai sàn DEX lớn — làm dấy lên các mối lo ngại rộng hơn về cảnh quan các lỗ hổng. Nếu kẻ tấn công có thể xâm phạm hạ tầng DNS của một nền tảng, các chiến thuật tương tự có thể được triển khai chống lại các giao thức DeFi khác thiếu các biện pháp bảo vệ tên miền vững chắc.

Khi ngành tiếp tục phát triển, con đường phía trước đòi hỏi một cách tiếp cận đa lớp: các cơ chế xác thực mạnh mẽ hơn cho tính xác thực của tên miền, việc mở rộng sử dụng các hệ thống đặt tên phi tập trung như ENS, và giáo dục người dùng nhấn mạnh các rủi ro của phụ thuộc vào giao diện phía trước tập trung. Cho đến khi các nền tảng DeFi thành công trong việc tách rời khỏi các nhà cung cấp DNS tập trung, các mối đe dọa như vậy sẽ còn tiếp diễn như những thiệt hại tất yếu của một ngành công nghiệp vẫn đang chuyển đổi hướng tới phi tập trung thực sự.