"ETH trong ví của tôi đã biến mất!"

Hôm nay, Arthur, người sáng lập DeFinance, đã tuyên bố trên mạng xã hội rằng anh ấy đã bị tấn công lừa đảo. Arthur đã nhấp vào một tài liệu PDF trong email giống với địa chỉ chính thức của nền tảng quản lý tài sản hợp tác Defiance Capital, dẫn đến việc ví nóng của anh ấy bị đánh cắp và mất một số lượng lớn NFT cũng như các tài sản khác trị giá hơn 400ETH.

Thế giới của Web3.0 dường như không an toàn và tài sản trên chuỗi của chúng tôi dường như bị đe dọa ở khắp mọi nơi. Thật vậy, từ góc độ của lớp trên, các ứng dụng trên chuỗi không chỉ cần xem xét các lỗ hổng trong logic ứng dụng mà còn xem xét các lộ trình tấn công tiềm ẩn có thể xảy ra (chẳng hạn như quyền ưu tiên, v.v.) của lớp đồng thuận của chuỗi đã triển khai . Ngoài ra, chúng ta cũng cần chú ý để xem mặt trước của sự tương tác và ngăn chặn các liên kết lừa đảo khác nhau. Điểm nguy hiểm nhất là một khi giao dịch được đảm bảo thanh lý, chi phí hoàn trả là cực kỳ cao. Theo cách này, mức độ bảo mật tổng thể của Web3.0 không tốt bằng Web2.0.

Nhưng từ góc độ cấp thấp hơn, về mặt lý thuyết, Web3.0 thực sự sẽ an toàn hơn. Ví dụ: việc thực thi song song phi tập trung trên chuỗi tạo ra một môi trường thực thi không đáng tin cậy cho các ứng dụng trên chuỗi. Các cuộc tấn công DoS thường gặp phải bởi các ứng dụng Web2.0 cũng được giải quyết bằng cơ chế Gas. Mã nguồn mở của giao thức cũng cung cấp cho người dùng "quyền" đối với DYOR trước khi sử dụng, v.v...

Bài viết này là của Tal Be'ery, ví tiền mã hóa ZenGo, giải thích chi tiết các ưu điểm bảo mật vốn có của Web3.0 và đề xuất các giải pháp tiềm năng cho các vấn đề hiện có. Viện Nghiên cứu Nhịp điệu dịch nguyên văn:

Tôi biết điều này nghe có vẻ nực cười, sau tất cả, bảo mật Web3 là một trong những trò cười lớn nhất trong giới công nghệ hiện nay và Web3 đã mất hơn 10 tỷ USD do vi phạm bảo mật vào năm ngoái. Tuy nhiên, tôi nghĩ tình hình hiện tại nên được thực hiện theo từng giai đoạn hơn là liên tục, một khi các ứng dụng Web3 trưởng thành hơn, chúng sẽ vượt qua nhiều "ứng dụng truyền thống" về bảo mật.

Định nghĩa của Web3

Mô tả hình ảnh

Web3 tam giác

Sau khi xác định Web3, chúng ta có thể bắt đầu thảo luận về bảo mật của nó, chủ yếu bao gồm bảo mật của các hợp đồng thông minh. Để đơn giản, chúng ta sẽ chỉ thảo luận về các hợp đồng thông minh trên Ethereum, nhưng tôi tin rằng các kết luận này cũng áp dụng cho các hệ thống và chuỗi khối tương tự khác.

Bảo mật Web3 có những lợi ích vốn có của nó

Hãy tưởng tượng một bản nâng cấp sẽ như thế nào nếu phần mềm độc hại, tấn công từ chối dịch vụ và các loại tấn công khác không có trong môi trường phần mềm Web3. Hãy xem Web3, nơi hiện thực hóa một điều không tưởng về bảo mật:

- Web3 giải quyết vấn đề thực thi tin cậy: Đối với các ứng dụng truyền thống, thực thi tin cậy là một vấn đề lớn chưa được giải quyết. Hiện tại, một ứng dụng phải tin cậy vào môi trường thực thi của phần mềm (hệ điều hành) và phần cứng (bộ xử lý và phần sụn). Nếu sự tin tưởng này bị xâm phạm bởi phần mềm độc hại hoặc một cuộc tấn công vào chuỗi cung ứng phần cứng có khả năng cấy một bộ xử lý độc hại, thì kẻ tấn công có thể giành quyền kiểm soát. Web3 giải quyết vấn đề bảo mật cơ bản này bằng việc phân quyền thực thi. Tất cả các nút blockchain đang thực thi mã web3 song song và phải thống nhất về kết quả thực thi. Trừ khi có một số rủi ro hệ thống trong chính công cụ thực thi (ví dụ: có lỗ hổng trong chính EVM của Ethereum), kẻ tấn công phải khởi động "cuộc tấn công 51% sức mạnh tính toán" để lây nhiễm phần mềm độc hại vào hầu hết các nút blockchain nhằm phá vỡ quá trình thực thi của nó.

- Web3 miễn nhiễm với các cuộc tấn công tiêm chích: Đối với các ứng dụng web truyền thống, tất cả các tham số được gửi dưới dạng chuỗi. Lỗ hổng thiết kế này là trung tâm của hầu hết các lỗ hổng ứng dụng web truyền thống, bao gồm cả SQL injection và command injection, cho phép kẻ tấn công đưa đầu vào bất ngờ vào các ứng dụng web mỏng manh. Ngược lại, do tính chất được gõ mạnh của Web3, đầu vào không mong muốn như vậy (chẳng hạn như một chuỗi khi một số được mong đợi) sẽ không thành công ngay lập tức và các ứng dụng Web3 không cần thực hiện bất kỳ bước chuẩn bị đặc biệt nào.

- Web3 có khả năng chống lại các cuộc tấn công từ chối dịch vụ cao hơn: mặc dù các cuộc tấn công này không thông minh, bởi vì chúng thường không dựa vào "sức mạnh chất xám" mà dựa vào "lực lượng vũ phu" của quân đội botnet, gửi rác đến mục tiêu tấn công với chi phí thấp hơn lưu lượng truy cập, nhưng chúng vẫn là một vấn đề lớn đối với các ứng dụng web truyền thống. Ngược lại, các ứng dụng Web3 sẽ không gặp phải vấn đề này, bởi vì chuỗi khối đã đặt phí giao dịch cao để ngăn chặn việc sử dụng quá mức, do đó những kẻ tấn công DoS không có cách nào để bắt đầu.

Ngoài những điểm trên, Web3 cũng cho thấy khả năng bảo mật tốt ở các khía cạnh khác (ví dụ: trong việc phản hồi các cuộc tấn công chuỗi cung ứng phần mềm). Tuy nhiên, chỉ cần làm những điểm trên là đã khá mạnh mẽ.

Tuy nhiên, bên cạnh những ưu điểm kỹ thuật nêu trên, Web3 cũng có một số ưu điểm về bảo mật theo nghĩa khái niệm do tính mở và minh bạch hoàn toàn của nó. Rất lâu trước khi Web3 xuất hiện, khái niệm bảo mật mở đã có nhiều người ủng hộ trong lĩnh vực bảo mật, những người tin rằng nó có nhiều lợi thế hơn so với "bảo mật ẩn". Web3 đưa ý tưởng về bảo mật mở đến mức tối đa: trong Web3, không chỉ mã nguồn mở theo quy ước, mà theo định nghĩa, các tệp nhị phân được công khai trên chuỗi khối và có thể kiểm chứng được do mã nguồn đã xuất bản. Hơn nữa, theo định nghĩa, tất cả các lần thực thi mã (giao dịch) đều công khai và có thể được xác minh và xem xét bởi bất kỳ ai.

Lợi thế lý thuyết không phải là lợi thế thực tế

Nếu về mặt lý thuyết, tính bảo mật của Web3 tốt hơn nhiều so với các ứng dụng truyền thống, vậy tại sao trên thực tế, các ứng dụng DeFI vẫn không an toàn bằng các ứng dụng ngân hàng truyền thống?

Tôi không nghĩ đó là do bản thân bảo mật của Web3 kém như thế nào, mà bởi vì nó hoạt động trong một môi trường thù địch như vậy nên những kẻ tấn công có thể dễ dàng kiếm tiền hơn từ việc hack. Các ứng dụng Web3 luôn xử lý "quỹ thanh khoản", bởi vì việc chuyển tiền trên chuỗi khối gần như tức thời và không thay đổi; trong khi ở hệ thống ngân hàng truyền thống, ngay cả khi ứng dụng ngân hàng bị tấn công, tài sản liên quan đến các giao dịch độc hại này có thể được phục hồi trước khi kẻ tấn công rút tiền mặt.

Cụ thể, chúng ta có thể xem xét một trong những vụ hack ngân hàng lớn nhất, vụ hack Ngân hàng Bangladesh năm 2016. Những kẻ tấn công đã sử dụng phần mềm độc hại để xâm nhập vào các ngân hàng và gửi các đường dây SWIFT lừa đảo nhằm đánh cắp 1 tỷ USD. Để thực sự lấy được 1 tỷ đô la, kẻ tấn công cần nhắm mục tiêu vào một ngày cụ thể, trùng với ngày nghỉ lễ của ngân hàng, giúp chúng có đủ thời gian để rút tiền. Họ cũng cần chuẩn bị trước tại một ngân hàng Philippine có thể xử lý các khoản chuyển khoản ngân hàng lớn để rút tiền trước khi chuyển khoản ngân hàng. Cuối cùng, những kẻ tấn công "chỉ" kiếm được 60 triệu đô la trong số 1 tỷ đô la, không phải vì phần mềm của ngân hàng an toàn hơn mà vì môi trường dễ dãi hơn, giúp những người bảo vệ có đủ thời gian để khôi phục chuyển khoản ngân hàng.

Do đó, chúng ta có thể kết luận rằng để đánh bại kẻ tấn công, chúng ta cần câu giờ nhiều hơn cho kẻ phòng thủ.

Để làm điều này, chúng ta cần giảm thời gian phát hiện một cuộc tấn công hoặc tăng thời gian trước khi giao dịch có thể bị đảo ngược hoặc cả hai.

Tôi rất lạc quan về khả năng cộng đồng của chúng ta có thể cải thiện thời gian phát hiện cuộc tấn công, bởi vì một số công ty bảo mật (chẳng hạn như peckshield) có thể tận dụng tính minh bạch của chuỗi khối nói trên và khái niệm "bảo mật mở" dựa trên dữ liệu công khai để phát hiện trước tin tặc tấn công, cảnh báo sớm. Đánh giá từ các vụ hack gần đây và phân tích hậu kỳ của chúng, không có gì ngăn cản việc phân tích được thực hiện trong thời gian thực khi các giao dịch được thực hiện (ngay cả khi một giao dịch được thực hiện dưới dạng "sở hữu" trong bộ nhớ chung của nút). Khi chúng tôi tích hợp một hệ thống cảnh báo sớm tiên tiến như vậy vào hợp đồng, nó có thể đủ để ngăn chặn các giao dịch độc hại như vậy, như các dự án gần đây như Forta.network đã chỉ ra.

Ngay cả ngày nay, rút ​​tiền mặt không dễ dàng như nó có vẻ. Một số Mã thông báo tiền điện tử đã thiết lập danh sách đen của riêng họ để đóng băng tài sản của người dùng được liệt kê. Ngoài ra, để rút tiền thành tiền tệ fiat, những kẻ tấn công thường cần dựa vào các sàn giao dịch tập trung, ngày càng được quản lý chặt chẽ và có thêm các chức năng KYC (biết khách hàng của bạn) và danh sách đen để ngăn chặn các cuộc tấn công rút tiền mặt. Do đó, một số kẻ tấn công ngày nay thích trả lại phần lớn số tiền bị tấn công, chỉ giữ lại một phần nhỏ và rửa những khoản tiền này thành "tiền thưởng lỗi" do các ứng dụng bị tấn công cấp. Cũng giống như các khoản tiền bị hack gần đây của Bitfinex, những tin tặc này thực sự khó có thể rút được một lượng lớn tiền điện tử. Để chắc chắn, rút ​​tiền mặt sẽ chỉ trở nên khó khăn hơn.

Kết luận: Chúng ta sẽ thành công

Mặc dù tính bảo mật của Web3 vẫn chưa đủ nhưng khi nó tiếp tục được cải thiện, nó có tiềm năng trở thành lá chắn an toàn cho các hoạt động kỹ thuật số của chúng ta trong tương lai. Như với hầu hết các công nghệ mang tính cách mạng, Web3 càng trở nên giàu tính năng thì vấn đề bảo mật của nó càng trở nên nghiêm trọng và điều này luôn đúng. Tuy nhiên, với sự hỗ trợ tài chính của vốn đầu tư mạo hiểm và các dự án Web3 thành công trong tương lai, các tài năng hệ thống bảo mật sẽ tiếp tục đổ vào lĩnh vực Web3 từ các sản phẩm bảo mật truyền thống và tôi tin rằng tính năng bảo mật của Web3 có thể được sử dụng đầy đủ sau đó.

Công nghệ Web3 và Crypto liên quan đến nhiều ngành khoa học máy tính và kinh tế, trong khi tôi chỉ hiểu lĩnh vực bảo mật. Tôi tin rằng Web3 sẽ mang lại những bước đột phá lớn trong lĩnh vực bảo mật và tôi cũng tin rằng nó có thể cải thiện những lĩnh vực khác mà tôi không hiểu.

liên kết gốc

liên kết gốc