Sự kiện tuần lễ blockchain GM Vietnam rất được mong chờ đã khai mạc vào sáng ngày hôm qua tại THISO SkyHall – trung tâm triển lãm nằm trong tòa nhà THISO Mall Sala (Quận 2, Tp. Hồ Chí Minh). Đây là một sự kiện quan trọng trong lĩnh vực Blockchain tại Việt Nam, nơi mà các chuyên gia và nhà đầu tư có cơ hội học hỏi và chia sẻ về những vụ hack đáng tiếc đã xảy ra trong thời gian qua.
Những vụ hack hàng trăm triệu USD và những bài học quý giá
Kể từ khi tiền mã hóa ra đời, rủi ro về bảo mật luôn đi đôi với những phát triển công nghệ. Năm ngoái đã chứng kiến nhiều vụ hack và tấn công Blockchain, gây thiệt hại hàng trăm triệu USD và gây khó khăn cho các dự án và nhà đầu tư.
Theo thống kế, có ít nhất 3 tỷ USD đã bị mất trong các vụ hack tiền mã hóa trong năm ngoái, đánh dấu một kỷ lục về tổng giá trị thiệt hại từ các vụ tấn công tiền mã hóa.
Một trong những mục tiêu thường xuyên của các vụ tấn công là mảng cross-chain của DeFi, nơi được xem như “long mạch” kết nối giữa các Blockchain. Trong năm trước, đã có 3 dự án bị tấn công nội bộ, gây thiệt hại gần 600 triệu USD, chiếm 64% tổng thiệt hại của cả năm đó là:
- Ronin Network – 622 triệu USD
- BNB Chain Bridge – 586 triệu USD
- FTX – 477 triệu USD
Mặc dù năm nay đã ghi nhận ít thiệt hại hơn, số lượng vụ tấn công vẫn không ngừng tăng lên.
Theo thống kê của Beosin tính đến ngày 30/06 vừa rồi, các vụ hack/exploit chiếm tỷ lệ lớn trong các hình thức đánh cắp crypto, với 471,43 triệu USD và 108 vụ tấn công. Các hình thức tấn công phổ biến khác bao gồm:
- Phishing scam (tấn công mạo danh): 108 triệu USD
- Rug pull: 75,87 triệu USD và 110 trường hợp
Trong nửa đầu năm nay, cũng có một số vụ tấn công đáng chú ý, như Atomic Wallet (hơn 100 triệu USD), SushiSwap (3,3 triệu USD), Euler Finance (197 triệu USD), Platypus Finance (9,1 triệu USD) và nhiều trường hợp khác.
Thách thức bảo mật và những giải pháp hiệu quả
Trong khi thị trường Blockchain ngày càng phát triển, các hình thức lừa đảo và tấn công an ninh cũng ngày càng tinh vi. Đây là một thách thức không thể tránh khỏi và đòi hỏi sự chú trọng và tìm ra những biện pháp bảo vệ tốt nhất cho tài sản của người dùng.
Chính vì lý do đó, sự kiện GM Vietnam đã tổ chức phiên thảo luận về chủ đề “Bảo mật Blockchain – bài học từ những vụ hack hàng triệu USD” với sự tham gia của những diễn giả có kinh nghiệm trong lĩnh vực bảo mật công nghệ. Các diễn giả gồm:
- Suraj S, luật sư tại King & Wood Mallesons.
- Eskil, đồng sáng lập GoPlus.
- Troy, trưởng bộ phận BD Verichains.
- Đặng Khánh Hưng, trưởng phòng Nghiên cứu tại FPT Blockchain Lab.
Buổi thảo luận do Nguyễn Việt Hòa, đại diện từ Liên minh Blockchain Việt Nam (VBU), dẫn dắt.
Góc nhìn từ phía các dự án và những bài học quý giá
Khi một dự án bị tấn công, thường lỗi được đổ cho đội ngũ phát triển vì công việc không chuyên nghiệp và việc không xây dựng đầy đủ các lớp bảo mật cần thiết.
Tuy nhiên, từ góc nhìn của các dự án, họ cũng là những nạn nhân của các cuộc tấn công. Trong quá trình phát triển, đội ngũ nhân sự cốt lõi luôn đặt sự an toàn bảo mật lên hàng đầu. Tuy nhiên, bảo mật không bao giờ là một vấn đề dễ dàng, đặc biệt là trong việc thiết kế Blockchain phức tạp.
Theo Troy, khi thiết kế smart contract, các nhà phát triển cần quan tâm đến hai khía cạnh quan trọng. Đầu tiên, smart contract phải đáp ứng mô hình kinh doanh và các yêu cầu của dự án. Đây là khía cạnh mà các nhà phát triển cần xem xét hàng đầu. Thứ hai, smart contract cần phù hợp với cấu trúc Blockchain. Blockchain hiện nay đã phát triển với nhiều lớp (layer 0, layer 1, layer 2, và thậm chí là layer 3) và có nhiều thuật toán đồng thuận khác nhau từ Proof-of-Work đến Proof-of-Stake và Proof-of-Storage. Các nhà phát triển phải nghiên cứu và hiểu rõ những cấu trúc phức tạp này.
Dưới những dòng mã code, những nhà phát triển đã cố gắng không ngừng để cân bằng giữa yêu cầu kinh doanh, trải nghiệm người dùng và các yêu cầu của công nghệ Blockchain.
Nhân tố con người và vai trò quan trọng của bảo mật
Thực tế cho thấy, các vụ tấn công không phải lúc nào cũng xảy ra do lỗ hổng công nghệ, mà phần lớn là do sự cẩu thả của con người, bao gồm cả người dùng và nhân viên của dự án, sàn giao dịch,…
Chúng ta đã chứng kiến nhiều trường hợp mất private key, lộ mã bảo mật hoặc các sự nhầm lẫn nhỏ khác. Ví dụ, có một trường hợp khi Wintermute gửi sai địa chỉ ví cho Optimism để nhận token OP và không thể truy cập vào ví. Hacker đã nhanh chóng tận dụng cơ hội này và lấy đi toàn bộ số tiền đó.
Ông Suraj cũng đã chứng kiến nhiều sự cố tương tự. Trong một buổi hội thảo ở Hong Kong, một người tham dự nhận được cuộc gọi từ người thân để hỏi về mã bảo mật ví, người này đã đọc mã từ giấy cho người thân. Tuy nhiên, do không gian rộng lớn của phòng họp, cuộc gọi đã bị người khác nghe lén và hacker đã lợi dụng để truy cập vào ví.
Một trường hợp khác xảy ra ở Hong Kong khi người dân được phép kết nối ví với tài khoản ngân hàng cá nhân. Họ cung cấp quyền truy cập vào một địa chỉ ví cụ thể cho ngân hàng. Tuy nhiên, khi sử dụng ví để tương tác với một liên kết lừa đảo, họ nhận được coin vào ví và rút tiền từ ngân hàng, nhưng sau đó phát hiện rằng cả ví lẫn tài khoản ngân hàng đều đã “biến mất”.
Do đó, chúng ta cần không ngừng nâng cao ý thức về bảo mật và quyền riêng tư, giúp người dùng nhận thức rõ về rủi ro khi tham gia vào lĩnh vực này.
Khôi phục lòng tin sau các vụ tấn công
Tuy nhiên, nếu một dự án đã bị tấn công và tài sản bị mất, làm thế nào để khôi phục lòng tin từ cộng đồng?
Đây là câu hỏi đau đầu mà mọi nhà sáng lập đều phải quan tâm.
Ví dụ về Poly Network, dự án đã bị tấn công lần đầu vào tháng 08/2021 với tổn thất lên đến 611 triệu USD – mức thiệt hại lớn nhất trong lịch sử ngành vào thời điểm đó. Tuy nhiên, hacker đã trả lại gần như toàn bộ số tiền đó, không phải vì nhận ra sai lầm của mình mà vì bị truy tìm danh tính và gặp áp lực từ cộng đồng và pháp luật.
Tuy nhiên, theo Troy, Poly Network chỉ là một trường hợp hiếm hoi. Đa số các dự án bị tấn công không thể lấy lại số tiền và gặp nhiều khó khăn sau khi bị tấn công.
Troy khuyên rằng nếu bị tấn công, đội ngũ dự án nên hành động nhanh chóng, không nên chần chừ và chờ đợi “3-5 ngày sau” hoặc “tuần sau”. Bởi vì mỗi ngày trôi qua, khả năng lấy lại số tiền càng giảm.
Hành động nhanh chóng bao gồm việc liên hệ với các chuyên gia bảo mật và luật sư trong ngành để:
- Hợp tác với chuyên gia truy vết dòng tiền trên Blockchain, thu thập bằng chứng và xác định danh tính của kẻ tấn công.
- Hợp tác với luật sư và tư vấn pháp lý để cung cấp đầy đủ bằng chứng cho cơ quan quản lý, yêu cầu đóng băng tài khoản ngân hàng của hacker, đòi lại số tiền hoặc thực hiện các biện pháp pháp lý cần thiết.
Lời khuyên cho các dự án mới
Khi quyết định khởi nghiệp trong lĩnh vực Blockchain/Web3 đầy tiềm năng nhưng cũng đầy thách thức, các nhà sáng lập dự án phải chấp nhận thực tế rằng họ không thể “hiểu rõ tất cả”.
Như đã đề cập ở trên, CTO và nhóm phát triển phải đối mặt với các lựa chọn khó khăn. Đặc biệt trong giai đoạn đầu khi dự án chưa có nhiều nguồn lực, không thể luôn đặt bảo mật lên hàng đầu.
Do đó, Eskil khuyên các nhà sáng lập nên tìm đến các chuyên gia hàng đầu trong ngành. Họ sẽ giúp dự án:
- Xây dựng khung cơ bản để đảm bảo bảo mật trong giai đoạn ban đầu của dự án và giảm áp lực cho nhóm phát triển.
- Khi dự án đã có sự phát triển và nguồn lực đủ mạnh, các chuyên gia sẽ hợp tác với dự án để tìm hiểu và triển khai các công nghệ bảo mật tối ưu nhất, đảm bảo tính ổn định của Blockchain.
Mặc dù vẫn còn nhiều thách thức, nhưng những cải tiến về an toàn bảo mật đang được tiến hành hàng ngày. Điều này giúp cộng đồng nhà đầu tư và các dự án trong lĩnh vực xây dựng hạ tầng có được niềm tin và triển vọng tốt hơn trong tương lai.
Crypto60s tổng hợp
Có thể bạn quan tâm
