Channel logo
MarginATM
Save
Copy link

Web3 có thực sự an toàn như chúng ta vẫn tưởng?

Trong khi bảo mật được coi là một trong những tính năng quan trọng nhất của Web3, hàng loạt vụ hack trong những tháng qua khiến nhiều người đặt nghi vấn liệu Web3 có thực sự an toàn như những lời quảng bá.
uyntran.web3
Published Aug 22 2022
Updated Dec 27 2023
5 min read
thumbnail

Trong khi bảo mật được coi là một trong những tính năng quan trọng nhất của Web3, hàng loạt vụ hack trong những tháng qua khiến nhiều người đặt nghi vấn liệu Web3 có thực sự an toàn như những lời quảng bá. 

Web3 được coi là bước đột phá của công nghệ blockchain đối với sự phát triển của Internet. Tuy nhiên, do vẫn còn là một công nghệ mới, khả năng thực sự của Web3 và vai trò của nó trong cuộc sống hàng ngày vẫn còn chưa rõ ràng. Trước khi chuyển đổi hoàn toàn sang Web3, chúng ta cần phải cân nhắc kỹ lưỡng một số yếu tố liên quan như hợp đồng thông minh hay rủi ro nội bộ. 

Lỗ hổng hợp đồng thông minh

Về mặt lý thuyết, blockchain không thể bị hack. Quả thực, hacker chưa bao giờ chiếm giữ được blockchain. Tuy nhiên, họ có thể lợi dụng những lỗ hổng trong hợp đồng thông minh của dự án để tấn công. Số vụ xâm nhập vào hợp đồng thông minh của các nền tảng tài chính phi tập trung (DeFi) đã tăng mạnh thời gian gần đây. Theo một số nghiên cứu, khoảng 1.6 tỷ USD tiền mã hóa đã bị đánh cắp chỉ trong quý đầu tiên của năm 2022.

Hồi đầu tháng 8, hợp đồng thông minh Moonbeam của cầu nối Nomad bị khai thác bảo mật. Hơn 190 triệu USD đã bị bòn rút khỏi nền tảng sau hàng loạt giao dịch như MarginATM đã đưa tin (tại đây). Trên thực tế, lỗ hổng hợp đồng thông minh từng được chỉ ra trong một báo cáo kiểm toán bảo mật vào tháng 6. Khi đó, đội ngũ phát triển Nomad tuyên bố “không tìm thấy lỗ hổng nào tồn tại”. Thái độ chủ quan đó đã đẩy Nomad vào cuộc tấn công nghiêm trọng 2 tháng sau.

Mặc dù DeFi chỉ là một phần nhỏ của không gian Web3, con số trên phản ánh khuyết điểm lớn nhất của hệ sinh thái. Do đó, doanh nghiệp Web3 cần phải tập trung ngân sách của mình sang vào phát triển hệ thống cốt lõi để khắc phục vấn đề bảo mật mạng. 

Những vụ tấn công như vậy để lại thiệt hại nặng nề cho các nhà đầu tư và có thể gián tiếp dẫn đến sự sụp đổ của toàn bộ hệ sinh thái. 

Đe dọa từ nội bộ

Không chỉ đối phó với tội phạm mạng, dự án còn phải cân nhắc các tác nhân xấu từ trong hệ thống. Vì vậy, các nhà phát triển phải thiết lập cơ chế an toàn trong đội ngũ nhân viên để phòng tránh bị tấn công nội bộ.

Ngày 14/8, nhà tạo lập thị trường tự động (AMM) Velodrome Finance đã thu hồi lại 350,000 USD từ Gabagool, một thành viên của dự án. Trước đó vào ngày 4/8, một trong những chiếc ví giữ nhiều tiền nhất của Velodrome đã bị rút cạn 350,000 USD. 

Sau đó, công ty tiến hành một cuộc điều tra nội bộ và xác định được thủ phạm đứng sau. Cuối cùng, họ đã thành công thu lại số tiền bị đánh cắp. Theo lời khai của Gabagool, Velodrome đã phạm phải một sai lầm lớn. Velodrome đã trao quyền sở hữu private key cho 5 người, trong đó có Gabagool. Trong tương lai, công ty quyết định lấy lại quyền sở hữu private key của các thành viên trong đội ngũ và thiết lập Gnosis Safe cho tất cả hoạt động tiền tệ.

Củng cố Web3

Chỉ trong nửa đầu năm 2022, vô số vụ hack xảy ra đã buộc nhiều người phải sắp xếp lại danh mục đầu tư của mình. Giờ đây, họ ưu tiên chọn lựa những dự án có hệ sinh thái an toàn và đáng tin cậy hơn. Do đó, các doanh nghiệp Web3 được kỳ vọng sẽ thực hiện những biện pháp an toàn để đảm bảo dịch vụ của họ có thể đi được đường dài. 

Theo các nhà nghiên cứu, vấn đề bảo mật của các dự án blockchain vẫn chưa được quan tâm đúng mực. Bảo mật nên được xem là khoản đầu tư bắt buộc, ngay cả khi không trực tiếp mang lại lợi nhuận. Hành động này giúp bảo toàn hàng triệu, thậm chí hàng tỷ USD cho người dùng và quyết định khả năng sống còn của nền tảng.

Một biện pháp giảm thiểu rủi ro tiềm năng là treo thưởng cho những ai tìm thấy lỗ hổng và báo cáo lại cho dự án. Phần thưởng này dự kiến sẽ thu hút giới hacker mũ trắng khi họ có khả năng truy tìm những lỗ hổng từ góc nhìn của tội phạm mạng. Ngoài ra, các nhà phát triển cũng có cơ hội nhận thưởng nếu tìm và sửa chữa được các lỗi trong hệ thống.

Bên cạnh đó, doanh nghiệp phải thiết lập ví multisig để lưu trữ tiền và tránh tình trạng tập trung trong kiểm soát ví. Các biện pháp như vậy, khi được thực hiện trên toàn hệ thống, sẽ nâng cao tính phi tập trung và ngăn chặn sự cố đáng tiếc xảy ra.

Đọc thêm: Câu chuyện gọi vốn cho công ty startup Web3 của cựu nhân viên Coinbase

RELEVANT SERIES