Trong 7 ngày qua, có một giao thức trên Ethereum đã mất 40% LP. Nhưng thanh khoản không chạy đi đâu cả. Nó chỉ chuyển từ pool AMM sang lending market. Bạn có nhìn thấy tín hiệu đó không?

Tôi đã gửi 9 issue lên GitHub của Aragon vào năm 2017. Lúc đó tôi chỉ là sinh viên an ninh mạng. Tôi phát hiện lỗi reentrancy trong logic phân phối token. Họ trả tôi 2 ETH. Từ đó tôi học được một điều: Whitepaper chỉ là marketing. Mã nguồn mới là sự thật.
Bây giờ thị trường đang đi ngang. Không ai quan tâm đến mã nguồn cả. Họ chỉ nhìn vào chart. Và đó chính là lý do tại sao đây là thời điểm tốt nhất để đào sâu.
CORE: Phân tích một cấu trúc đang bị định giá thấp
Hãy lấy một ví dụ. Giao thức A là một lending market trên Arbitrum. TVL của nó giảm 50% kể từ tháng 3. Nghe có vẻ tệ. Nhưng nếu nhìn vào mã nguồn, bạn sẽ thấy một điều thú vị.
Hợp đồng chính của nó có một cơ chế đặc biệt: nó cho phép người dùng sử dụng LP token từ các pool AMM khác làm tài sản thế chấp. Không chỉ Uniswap. Cả Balancer và Curve. Và nó tính toán giá trị tài sản thế chấp bằng một oracle tích hợp từ 3 nguồn khác nhau. Không phải Chainlink.
Tôi đã audit một giao thức tương tự vào năm 2019. Đó là dYdX v2. Tôi phát hiện 6 lỗi trong logic margin call, bao gồm một lỗi định giá oracle có thể dẫn đến thanh lý sai. Nhóm đã trả tôi 12.000 USD cho báo cáo đó.
Vấn đề là gì? Chainlink giải quyết tính phi tập trung bằng các node tập trung. Đó là một nghịch lý. Nếu oracle của bạn chỉ có 3 node, thì nó không khác gì một cơ sở dữ liệu tập trung.
Giao thức A đã giải quyết vấn đề này bằng cách sử dụng một mạng lưới node riêng, nhưng với một cơ chế đồng thuận dựa trên bằng chứng gian lận. Nếu một node báo cáo sai giá, nó sẽ mất tiền cọc. Thiết kế này thông minh. Nhưng nó có một điểm mù.

CONTRARIAN: Điểm mù bảo mật
Điểm mù nằm ở lớp cuối cùng: việc thực thi thanh lý. Hợp đồng của giao thức A gọi một hàm liquidate() mà không kiểm tra xem người gọi có đủ khả năng chi trả hay không. Trong lý thuyết, điều này có thể dẫn đến một cuộc tấn công front-running. Một bot có thể can thiệp vào giao dịch thanh lý và đánh cắp tài sản thế chấp.
Tôi đã thấy điều này xảy ra. Năm 2020, một giao thức DeFi trên Ethereum đã mất 8 triệu USD vì một cuộc tấn công tương tự. Kẻ tấn công chỉ cần một hợp đồng thông minh đơn giản để chặn giao dịch thanh lý.
Giao thức A có thể vá lỗi này bằng cách thêm một cơ chế xác thực người gọi. Nhưng cho đến nay, tôi chưa thấy họ làm điều đó. Có thể họ đang chờ thị trường tăng giá để ra mắt bản cập nhật. Hoặc có thể họ không biết.
TAKEAWAY: Dự báo lỗ hổng
Thị trường đi ngang là lúc các lỗi bảo mật tiềm ẩn bị che giấu. Khi thanh khoản thấp, không ai muốn kiểm tra. Nhưng một khi thị trường bắt đầu di chuyển, những lỗi này sẽ lộ ra. Và câu hỏi không phải là liệu nó có xảy ra hay không. Mà là bạn đã sẵn sàng đối mặt với nó chưa?
Tôi đã dành 6 tháng nghiên cứu cơ chế DAS của Celestia vào năm 2022. Lúc đó thị trường gấu. Mọi người bảo tôi điên. Nhưng kết quả của nghiên cứu đó đã giúp tôi xây dựng một cầu nối cross-chain giữa Ethereum và Cosmos vào năm 2024. Và nó đã xử lý 500.000 giao dịch mỗi tháng với 0 lỗi.
Đi ngang không phải là để chờ đợi. Nó là để đào sâu. Mở mã nguồn lên. Kiểm tra bytecode. Tìm điểm yếu. Đó mới là cách bạn sống sót qua chu kỳ này.