SoK: Decentralized Finance (DeFi)

1. Thông tin Nghiên cứu khoa học

• Tên nghiên cứu (Tiếng Anh): SoK: Decentralized Finance (DeFi)
• Tên nghiên cứu (Tiếng Việt): Tổng quan: Tài chính phi tập trung (DeFi)
• Tác giả: Sam Werner, Daniel Perez, Lewis Gudgeon, Ariah Klages-Mundt, Dominik Harz, William J. Knottenbelt
• Số trang file pdf: 17
• Năm: 2022
• Nơi xuất bản: Imperial College London, Cornell University, Interlay
• Chuyên ngành học: Khoa học máy tính, Kinh tế, Tài chính
• Từ khoá: Tài chính phi tập trung, DeFi, Ethereum, Blockchain

2. Nội dung chính

Bài viết này trình bày một cách có hệ thống về kiến thức (SoK) trong lĩnh vực Tài chính phi tập trung (DeFi), một hệ thống tài chính ngang hàng được xây dựng trên công nghệ blockchain. Sự phát triển nhanh chóng của DeFi đã tạo ra những thách thức trong việc hiểu các nguyên tắc cơ bản và rủi ro bảo mật của nó. Bài viết phân tích hệ sinh thái DeFi theo các trục chính: các thành phần cơ bản, các loại giao thức hoạt động và bảo mật. Điểm đặc biệt của bài viết là sự phân biệt giữa bảo mật kỹ thuật, vốn đã có nhiều nghiên cứu, và bảo mật kinh tế, một lĩnh vực còn ít được khám phá, kết nối bảo mật kinh tế với các mô hình mới và tổng hợp các hiểu biết từ khoa học máy tính, kinh tế và tài chính. Cuối cùng, bài viết vạch ra các thách thức nghiên cứu mở trong hệ sinh thái DeFi liên quan đến các loại bảo mật này.

DeFi, trong hình thức lý tưởng, thể hiện bốn đặc tính chính: (1) phi giám hộ (non-custodial), người tham gia có toàn quyền kiểm soát tiền của họ bất kỳ lúc nào; (2) không cần cấp phép (permissionless), bất kỳ ai cũng có thể tương tác với các dịch vụ tài chính mà không bị kiểm duyệt hoặc chặn bởi bên thứ ba; (3) có thể kiểm toán công khai (openly auditable), bất kỳ ai cũng có thể kiểm toán trạng thái của hệ thống; (4) có thể kết hợp (composable), các dịch vụ tài chính có thể được kết hợp tùy ý để tạo ra các sản phẩm và dịch vụ tài chính mới.

Bài viết chia các giao thức DeFi thành sáu loại hoạt động chính: trao đổi tài sản trên chuỗi (on-chain asset exchange), thị trường vốn vay cho tài sản trên chuỗi (loanable funds markets for on-chain assets), stablecoin, quản lý danh mục đầu tư (portfolio management), công cụ phái sinh (derivatives) và các công cụ trộn tiền bảo vệ quyền riêng tư (privacy-preserving mixers). Mỗi loại giao thức này được mô tả chi tiết về chức năng và cơ chế hoạt động.

Một phần quan trọng của bài viết là định nghĩa về khai thác (exploit) trong bối cảnh DeFi. Một khai thác có thể phát sinh khi kẻ tấn công khai thác sự khác biệt giữa việc triển khai thực tế của một hợp đồng thông minh và việc triển khai dự kiến, hoặc khai thác sự khác biệt giữa thông tin thực tế ngoài chuỗi và ước tính trên chuỗi về thông tin đó. Các khai thác thường gây lo ngại khi chúng có lợi nhuận hoặc gây ra tổn thất lớn cho các giao thức hoặc người dùng với chi phí thực hiện thấp.

Bài viết giới thiệu một cách phân loại mới về các rủi ro bảo mật DeFi thành bảo mật kỹ thuật và bảo mật kinh tế. Rủi ro bảo mật kỹ thuật xảy ra khi kẻ tấn công có thể khai thác một giao thức một cách nguyên tử (atomically), thường là trong một giao dịch duy nhất hoặc một nhóm giao dịch trong một khối. Các cuộc tấn công này có thể được thực hiện mà không có rủi ro vì kết quả cho kẻ tấn công là nhị phân: hoặc cuộc tấn công thành công và kẻ tấn công có lợi nhuận, hoặc giao dịch bị hoàn nguyên và kẻ tấn công chỉ mất một số phí gas. Ngược lại, rủi ro bảo mật kinh tế xảy ra khi kẻ tấn công thực hiện một khai thác không nguyên tử để kiếm lợi nhuận bằng chi phí của giá trị do giao thức hoặc người dùng của nó nắm giữ. Các khai thác kinh tế không phải là không có rủi ro và thường liên quan đến việc thao túng thị trường hoặc cấu trúc khuyến khích trong một khoảng thời gian.

Các loại tấn công bảo mật kỹ thuật bao gồm: khai thác các lỗ hổng hợp đồng thông minh (reentrancy, integer manipulation, logical bugs), tấn công một giao dịch (governance attacks, single transaction sandwich attacks) và tấn công thứ tự giao dịch (displacement attacks, multi-transaction sandwich attacks). Các loại tấn công bảo mật kinh tế bao gồm các vấn đề liên quan đến việc thế chấp quá mức (overcollateralization), các mối đe dọa từ giá trị có thể khai thác của người khai thác (Miner Extractable Value – MEV), rủi ro quản trị (governance risks) và thao túng thị trường và oracle (market and oracle manipulation).

Cuối cùng, bài viết xác định một loạt các thách thức nghiên cứu mở trong DeFi, bao gồm: rủi ro kết hợp (composability risks), quản trị (governance), oracles, giá trị có thể khai thác của người khai thác (MEV), phân tích chương trình (program analysis), và ẩn danh và quyền riêng tư (anonymity and privacy).

3. Kết luận

Bài viết này đã cung cấp một cái nhìn tổng quan có hệ thống về lĩnh vực DeFi, bao gồm các nguyên tắc cơ bản, các loại giao thức và các rủi ro bảo mật. Sự phân biệt giữa bảo mật kỹ thuật và bảo mật kinh tế là một đóng góp quan trọng, làm sáng tỏ các loại mô hình và công cụ khác nhau cần thiết để phân tích và bảo vệ chống lại các rủi ro khác nhau. Các thách thức nghiên cứu mở được xác định trong bài viết chỉ ra những lĩnh vực quan trọng cần nghiên cứu và phát triển trong tương lai để DeFi có thể đạt được tiềm năng đầy đủ của nó như một hệ thống tài chính phi tập trung, không cần cấp phép và phi giám hộ. Mặc dù DeFi có tiềm năng tạo ra một hệ thống tài chính không cần cấp phép và phi giám hộ, nhưng những thách thức bảo mật kỹ thuật và kinh tế vẫn còn lớn. Việc giải quyết những thách thức này một cách mạnh mẽ và có thể mở rộng là một thách thức trung tâm đối với các nhà nghiên cứu và những người thực hành DeFi.