Gm Vietnam Bảo Mật Blockchain Và Bài Học Từ Những Vụ Hack Hàng Trăm Triệu Usd

Sự kiện tuần lễ blockchain GM Vietnam rất được mong chờ đã đánh trống mở màn vào sáng ngày 07/07/2023 tại THISO SkyHall - trung tâm triển lãm nằm trong tòa nhà THISO Mall Sala (Quận 2, Tp. Hồ Chí Minh).

Bảo mật - một vấn đề nhức nhối

Kể từ tiền mã hóa ra đời, song hành cùng với các phát kiến công nghệ luôn là những cạm bẫy tấn công bảo mật chực chờ dự án và nhà đầu tư. 

Không cần nói đâu xa, 2022 là năm đã chứng kiến vô cùng nhiều những vụ hack, tấn công blockchain làm thất thoát hàng trăm triệu USD, đẩy dự án và nhà đầu tư rơi vào tình cảnh khó khăn.

Như Coincuatui đã tường thuật trong bài 22 Sự kiện Tiền mã hóa Nổi bật của năm 2022, ít nhất 3 tỷ USD bị tổn thất trong các vụ hack crypto xuyên suốt năm qua và đưa năm 2022 trở thành kỷ lục về tổng giá trị thiệt hại từ các vụ tấn công tiền mã hóa.

Mục tiêu thường xuyên bị nhắm đến nhất là mảng cross-chain của DeFi, nơi được xem như “long mạch” chuyển giao giữa các blockchain nhưng cũng là một lỗ hổng lớn. Với 3 dự án bị tấn công nội trong tháng 10, gần 600 triệu USD thất thoát, chiếm 64% tổng thiệt hại cả năm.

10 vụ hack lớn nhất ngành tiền mã hóa năm 2022

1. Ronin Network – 622 triệu USD

2. BNB Chain Bridge – 586 triệu USD

3. FTX – 477 triệu USD

Tuy 2023 tình hình có cải thiện hơn với ít số tiền thất thoát hơn nhưng số vụ thì vẫn không đếm xuể.

Theo thống kê của Beosin tính đến ngày 30/06/2023, các vụ hack/exploit chiếm phần lớn trong số các hình thức đánh cắp crypto, cụ thể với:

• Hack/exploit (tấn công bảo mật): 471,43 triệu USD - 108 vụ tấn công;

• Phishing scam (tấn công mạo nhận): 108 triệu USD;

• Rug pull: 75,87 triệu USD - 110 trường hợp.

Một số vụ tấn công đáng chú ý trong nửa đầu năm nay là Atomic Wallet (hơn 100 triệu USD), SushiSwap (3,3 triệu USD), Euler Finance (197 triệu USD), Platypus Finance (9,1 triệu USD),...

Có thể thấy, khi thị trường ngày càng phát triển, những thủ đoạn lừa đảo, tấn công an ninh cũng ngày càng tinh vi. Đây là mặt trái mà chúng ta không thể tránh khỏi, tạo ra thách thức đối với dự án, chuyên gia bảo mật để tìm ra hướng bảo vệ tốt nhất cho tài sản của người dùng.

Chính vì vậy, GM Vietnam ngày 2 mang đến cho người tham dự phiên thảo luận về chủ đề "Bảo mật blockchain - bài học từ những vụ hack hàng triệu USD" với sự tham dự của những diễn giả có kinh nghiệm trong ngành và chuyên môn nhiều năm trong lĩnh vực bảo mật công nghệ, gồm:

- Suraj S, luật sư tại King & Wood Mallesons;

- Eskil, đồng sáng lập GoPlus;

- Troy, trưởng bộ phận BD Verichains;

- Đặng Khánh Hưng, trưởng phòng Nghiên cứu tại FPT Blockchain Lab

Với sự dẫn dắt của Nguyễn Viết Hòa đến từ Liên minh Blockchain Việt Nam (VBU).

Góc nhìn từ phía dự án

Khi một dự án bị tấn công, cộng đồng đầu tiên là đổ lỗi cho đội ngũ dự án đã làm việc không chuyên nghiệp, không xây dựng các lớp bảo mật cần thiết.

Tuy nhiên, nhìn từ phía dự án, đôi khi họ cũng chỉ là những người bị hại. Khi phát triển dự án, các nhân sự cốt lõi luôn đặt trọng tâm bảo mật lên hàng đầu. Dù vậy, bảo mật không bao giờ là một vấn đề dễ dàng, nhất là khi đặt trong bối cảnh thiết kế blockchain cũng phức tạp không kém.

Theo Troy, khi thiết kế smart contract, các dev cần quan tâm 2 khía cạnh:

• Đáp ứng mô hình kinh doanh: smart contract cần thiết kế theo yêu cầu kinh doanh, hoạt động của dự án. Đó là khía cạnh đầu tiên mà dev cần cân nhắc.
• Phù hợp cấu trúc blockchain: Blockchain ngày nay đã phát triển vô cùng nhộn nhịp, với cấu trúc layer 0, layer 1, layer 2 và thậm chí là layer 3,... Thuật toán đồng thuận cũng có nhiều lựa chọn từ Proof-of-Work đến Proof-of-Stake rồi Proof-of-Storage,...

Dù theo công nghệ nào, dev đều phải nghiên cứu những cấu trúc phức tạp đó.

Vì vậy, dưới từng dòng mã code là những cố gắng không ngừng nghỉ của dev để cân bằng giữa ưu thế kinh doanh, trải nghiệm người dùng và yêu cầu của công nghệ blockchain.

Lỗ hổng con người

Trên thực tế, các vụ tấn công xảy ra ít vì lý do lỗ hổng công nghệ mà phần nhiều là vì sự bất cẩn từ phía con người, cả người dùng lẫn nhân sự của dự án, sàn giao dịch,...

Chúng ta từng chứng kiến các vụ thất thoát liên quan đến việc làm mất private key, lộ mã bảo mật hoặc đơn giản là nhẫm lẫn gì đó,... Nổi bật có sự cố hi hữu khi Wintermute gửi nhầm địa chỉ ví cho Optimism để nhận token OP, nhưng rồi không truy cập được vào ví. Thế là đã có hacker nhanh tay hơn chiếm quyền truy cập và cuỗm đi hết số tiền đó.

Chính ông Suraj cũng từng chứng kiến những sự cố tương tự. Trong một hội thảo ở Hong Kong, một người tham dự nhận được cuộc gọi từ người thân để hỏi về mật mã ví, người này đã đọc mật mã được viết trên giấy cho người thân. Tuy nhiên, vì ở giữa khán phòng rộng lớn, cuộc gọi đó đã bị người khác nghe lén được và nhanh tay truy cập vào ví.

Thêm một trường hợp khác, vì Hong Kong đã cho phép nhà đầu tư cá nhân giao dịch crypto, người dân có thể liên kết ví với tài khoản ngân hàng. Đúng hơn thì cấp quyền cho ngân hàng truy cập vào một địa chỉ ví cụ thể. Đến khi họ dùng ví tương tác với một link scam, khi nhận coin vào ví và ra ngân hàng rút tiền, thì phát hiện ra cả ví lẫn tài khoản ngân hàng đều "không cánh mà bay".

Chính vì vậy, chúng ta cần không ngừng nâng cao ý thức về bảo mật và quyền riêng tư, giúp người dùng nhận thức rõ về rủi ro khi tham gia ngành.

Tìm lại niềm tin của người dùng sau khi dự án bị tấn công

Nhưng nếu như dự án đã bị tấn công, tài sản bị thất thoát thì làm sao có thể khôi phục lại lòng tin từ phía cộng đồng?

Đó là câu hỏi nhức nhối mà nhà sáng lập nào cũng cần quan tâm.

Nhắc đến cố sự Poly Network bị hack lần đầu tiên vào tháng 08/2021 với thiệt hại 611 triệu USD - lớn nhất lịch sử ngành thời điểm đó. Tuy nhiên, hacker đã trả lại gần như toàn bộ số tiền trên, không phải vì nhận ra sai lầm của mình mà là bị truy vết danh tính và bị gây áp lực (thậm chí là "đe dọa") từ phía cộng đồng và pháp lý. 

Tuy vậy, Troy khẳng định Poly Network chỉ là trường hợp hi hữu. Phần đa các dự án bị tấn công đều không thể lấy lại tiền và gặp nhiều khó khăn kể từ sau khi bị tấn công.

Troy khuyên nếu bị tấn công, đội ngũ dự án nên hành động càng nhanh càng tốt, chứ không được chần chờ "để 3-5 ngày sau hay để tuần sau" vì thời gian càng lâu, khả năng lấy lại tiền càng ít.

Hành động ở đây là nhanh chóng liên hệ với đội ngũ chuyên gia bảo mật và các luật sư trong ngành để:

• hợp tác với chuyên gia on-chain truy vết dòng tiền, thu thập bằng chứng và tra rõ danh tính của kẻ tấn công;
• hợp tác với luật sư, tư vấn pháp lý để cung cấp hết các bằng chứng cho giới chức quản lý, yêu cầu đóng băng tài khoản ngân hàng của hacker, đòi lại tiền hoặc thực hiện các biện pháp pháp lý cần thiết.

Lời khuyên cho các dự án non trẻ

Khi quyết định start-up trong thị trường blockchain/web3 đầy tiềm năng nhưng cũng nhiều thách thức, các nhà sáng lập dự án phải chấp nhận sự thật rằng mình không thể nào "hiểu rõ tất cả".

Như đề cập ở trên, CTO (Giám đốc Công nghệ) và đội dev phải đánh đổi giữa những lựa chọn khó khăn. Nhất là trong giai đoạn đầu dự án chưa có nhiều nguồn vốn, không thể luôn đặt bảo mật lên đầu tiên được.

Vì vậy, Eskil khuyên các nhà sáng lập trẻ nên tìm đến chuyên gia đầu ngành. Họ sẽ giúp dự án:

• có khung framework cơ bản giúp dự án trong giai đoạn đầu xây dựng được cấu trúc bảo mật thiết yếu nhất, giảm bớt áp lực lên đội ngũ phát triển;
• khi dự án đã thành hình và có nguồn lực dồi dào, các chuyên gia sẽ hợp tác cùng dự án để khám phá các công nghệ bảo mật tối ưu nhất, đề cao tính ổn định của blockchain nhất.

Dù bối cảnh hiện tại vẫn còn rất nhiều thách thức, song nhiều cải tiến liên quan đến vấn đề an toàn bảo mật vẫn đang được tinh chỉnh mỗi ngày. Chi tiết này giúp cộng đồng nhà đầu tư lẫn các bên dự án tham gia xây dựng hạ tầng có thể lạc quan hơn về viễn cảnh trong tương lai của mảng thị trường này.

Nguồn: Coin68