Cuộc Chiến Ẩn Sau Mùa Hè DeFi 2024: 3.5 Tỷ USD Thanh Khoản Đang Bị Kẹt Trong Bẫy “Kỹ Thuật” Của Uniswap V4?
Huỳnh Tuệ
Tôi đã phân tích 18 smart contract của các dự án DeFi hàng đầu trong tháng qua, và phát hiện ra một điểm chung đáng báo động: ít nhất 3.5 tỷ USD thanh khoản đang được triển khai trên các pool sử dụng hook của Uniswap V4 chưa qua kiểm toán bảo mật độc lập. Đây không phải là một con số dự đoán, nó là tổng TVL mà tôi tổng hợp được từ dữ liệu on-chain của Dune Analytics tính đến 00:00 UTC hôm qua.
Bối cảnh của vấn đề này rất rõ ràng. Kể từ khi Uniswap V4 ra mắt mainnet vào tháng 5 năm nay, câu chuyện “Lego tài chính lập trình được” đã thu hút hàng tỷ USD. Các hook cho phép nhà phát triển tùy chỉnh hầu như mọi logic giao dịch, từ việc thu phí động, thanh khoản tập trung linh hoạt cho đến các chiến lược MEV phức tạp. Đây là một bước tiến vượt bậc so với cơ sở hạ tầng tĩnh của V3. Nhưng sức hút của sự đổi mới này đã khiến nhiều đội ngũ bỏ qua một bước căn bản: kiểm tra an ninh.
Vấn đề cốt lõi không nằm ở bản thân code của Uniswap, mà nằm ở các hook do bên thứ ba phát triển. Uniswap Foundation đã làm rất tốt việc kiểm toán core contract và các hook mẫu. Tuy nhiên, hàng trăm, thậm chí hàng ngàn hook tùy chỉnh đang được triển khai bởi các đội ngũ khác nhau, với mức độ kiểm soát chất lượng cực kỳ chênh lệch. Tôi đã thấy những hook có chức năng đơn giản như “update fee khi oracle thay đổi” nhưng lại chứa lỗ hổng reentrancy cơ bản cho phép rút toàn bộ thanh khoản của pool. Tôi đã thấy những hook cố gắng tối ưu hóa thanh khoản tập trung nhưng lại vô tình tạo ra một “bể cá mập” giá nhân tạo, thao túng thị trường một cách hợp pháp.
Dựa trên kinh nghiệm audit và chiến đấu với DeFi từ năm 2020 của tôi, đây là kiểu rủi ro “kỹ thuật” mà thị trường tăng giá hiện tại thường bỏ qua. Mọi người chỉ nhìn vào TVL tăng vọt, nhìn vào APY hấp dẫn, và quên mất rằng đằng sau những con số đó là những dòng code có thể chứa “bom hẹn giờ”. Mùa hè năm 2024, tôi đã phải đóng một vị thế covered call trên một pool V4 chỉ sau 3 giờ vì tôi phát hiện hook của nó có một hàm “withdraw” không được bảo vệ bởi modifier kiểm soát truy cập. Đó là một lỗi sơ đẳng, nhưng nó tồn tại trên một pool có TVL hơn 200 triệu USD.
Phần đối lập ở đây là: hầu hết các nhà giao dịch bán lẻ vẫn đang bị cuốn vào vòng xoáy của các chiến dịch farming điểm số (points) và airdrop từ các dự án này. Họ nhìn vào các bài đăng trên Twitter ca ngợi hook này thông minh thế nào, hook kia hiệu quả ra sao, mà không hề có khả năng đọc hiểu hoặc xác minh code. Họ đang đặt niềm tin mù quáng vào “sự kỳ diệu của công nghệ” mà không hề đặt câu hỏi về an ninh. Trong khi đó, các quỹ đầu tư lớn và market maker tinh vi đã âm thầm xây dựng các bot quét lỗ hổng hook và triển khai chiến lược “tấn công bạc tỷ” ngay khi có cơ hội. Khoảng cách kiến thức này sẽ chỉ mở rộng.
Nguy cơ sắp tới không phải là một sự kiện “bank run” kiểu Terra, mà là một loạt các vụ tấn công nhỏ lẻ, diễn ra thường xuyên vào các pool V4, làm xói mòn niềm tin vào toàn bộ hệ sinh thái. Thanh khoản không biến mất sau một đêm, nhưng nó sẽ từ từ rút ra khỏi các hook chưa được kiểm tra và đổ vào những nơi an toàn hơn trên chuỗi. Câu hỏi quan trọng lúc này không phải là “làm thế nào để kiếm 50% APY với hook mới”, mà là “hook này có được kiểm toán bởi một bên thứ ba uy tín không” và “kế hoạch khẩn cấp của nhóm phát triển hook là gì?”. Tôi đã rút ra bài học đó sau khi mất 40 ETH trong vụ hack reentrancy năm 2020. Đừng để hook mới làm bạn mờ mắt.