Skip to main content

Bảo mật cao hơn là điều cần thiết cho sự tăng trưởng của ứng dụng

Ngày 20 tháng 02 năm 2024 - Chia sẻ bài viết này trên Twitter | FacebookTelegram

Lĩnh vực tài chính truyền thống sở hữu một lợi thế đáng chú ý so với lĩnh vực Blockchain, một khía cạnh thường vẫn chưa được thảo luận. Ưu điểm này nằm ở khả năng phục hồi vượt trội trước các cuộc tấn công mạng. Theo thời gian, các chuyên gia CNTT và hệ thống pháp luật đã giải quyết hiệu quả các vụ hack, lừa đảo và hoạt động lừa đảo. Mặc dù những sự cố như vậy không phải là không có nhưng sự xuất hiện của chúng ít xảy ra hơn đáng kể so với những sự cố trong ngành công nghiệp Blockchain. Để Tài chính phi tập trung (DeFi) phát huy hết tiềm năng, nó phải đảm bảo được niềm tin của người dùng. Sự tin cậy này chỉ có thể được thiết lập bằng cách giảm đáng kể số lượng sự cố bảo mật. Báo cáo bảo mật năm 2023 do CERTIK công bố đưa ra phân tích chuyên sâu về các sự cố đã xảy ra và những tổn thất tương ứng, từ đó cung cấp những hiểu biết sâu sắc có giá trị về tình trạng bảo mật trong ngành.

Báo cáo bảo mật 2023 của CERTIK

CERTIK xử lý các sự cố bảo mật xảy ra trên 24 nền tảng (bao gồm một số Layer 2 như Arbitrum hoặc Polygon). Cardano cũng nằm trong danh sách này.

Bạn có thể tự mình xem báo cáo bảo mật từ CERTIK .

Hãy nhìn vào những con số cần thiết.

Tổng cộng 1.840.879.064 USD đã bị mất trong 751 sự cố bảo mật vào năm 2023.

Con số này thể hiện mức giảm 51% so với tổng số 3,7 tỷ USD của năm 2022. Tuy nhiên, đây có thể là kết quả của một thị trường giá xuống. Trong thị trường giá lên sắp tới, chúng ta có thể mong đợi hoạt động gia tăng của những kẻ lừa đảo và tin tặc.

Khi một thị trường giá lên thu hút người dùng mới, đương nhiên nó cũng thu hút những kẻ tấn công.

Báo cáo cho biết có thể quan sát thấy mối tương quan tích cực vừa phải giữa số vụ hack và TVL. Nếu TVL tăng thì số lượng sự cố cũng tăng theo. Điều quan trọng cần lưu ý là tổng tổn thất tài chính bằng USD tăng lên khi giá cả thị trường của token bản địa tăng lên.

Xâm phạm khóa riêng là cách thức mất tiền nhiều nhất, với ~881 triệu USD bị mất chỉ sau 47 sự cố. Điều này chiếm gần một nửa tổng số tổn thất tài chính, mặc dù việc xâm phạm khóa cá nhân chỉ chiếm 6,3% tổng số sự cố bảo mật.

Chuỗi BNB đã trải qua số lượng sự cố bảo mật cao nhất, với tổng số 387 vụ hack, lừa đảo và khai thác dẫn đến thiệt hại 134 triệu USD.

Ethereum đã chứng kiến ​​tổng cộng 224 sự cố nhưng thiệt hại 686 triệu USD.

Có thể thấy rằng tần suất sự cố cao nhất có xu hướng xảy ra ở các hệ sinh thái được sử dụng nhiều nhất. Đây là một xu hướng hợp lý theo quan điểm của kẻ tấn công, vì các hệ sinh thái này thường có số lượng người dùng lớn nhất và thường nắm giữ nhiều tiền nhất trong các ứng dụng DeFi của chúng.

Trong hình dưới đây, bạn có thể thấy số lượng sự cố trên mỗi nền tảng và tổng thiệt hại tài chính.

Nhìn vào sự trình bày của các loại sự cố bảo mật.

Chỉ có 47 sự cố xâm phạm khóa riêng nhưng tổng thiệt hại gây ra là cao nhất.

Có 306 vụ thoát lừa đảo nhưng tổng thiệt hại là thấp nhất so với các vụ việc khác.

Có 197 lỗ hổng mã, số lượng sự cố cao thứ hai. Tổng thiệt hại tương đối cao.

Hãy xem xét một trong những sự cố quan trọng liên quan đến việc đánh cắp khóa riêng.

Vào tháng 7, Multichain đã bị vi phạm nghiêm trọng dẫn đến thiệt hại 125 triệu USD. Sau đó người ta phát hiện ra rằng chỉ có CEO kiểm soát các máy chủ và khóa riêng của nền tảng được cho là phi tập trung. Vấn đề này nổi lên khi CEO bị bắt, khiến người dùng không thể tiếp cận được 1,5 tỷ USD. Tình hình leo thang khi tiền bắt đầu chuyển sang ví không xác định, làm nổi bật những rủi ro của việc kiểm soát khóa cá nhân tập trung.

Trong báo cáo bảo mật, bạn sẽ tìm thấy thông tin chi tiết về vụ rò rỉ thư viện Ledger dẫn đến mất khoảng 500 nghìn ví. Thật không may, trong một số trường hợp, ngay cả ví cứng (HW) cũng có thể không đủ khả năng bảo vệ tài sản của người dùng.

Hơn nữa trong báo cáo, bạn sẽ tìm thấy thông tin chi tiết về vụ hack KyberSwap, trong đó những kẻ tấn công đã lạm dụng khoản vay flash khét tiếng.

Ứng dụng thể chế

Có thể đáng ngạc nhiên rằng mặc dù có số lượng lớn các sự cố bảo mật nhưng các tổ chức tài chính vẫn đang thúc đẩy việc ứng dụng. Vào năm 2023, tiến bộ đáng kể đã đạt được trong việc ứng dụng công nghệ Blockchain theo thể chế, với các tổ chức tài chính quan trọng như Swift, Cơ quan tiền tệ Hồng Kông (HKMA) và Tập đoàn Ngân hàng Úc và New Zealand (ANZ) dẫn đầu.

Chúng tôi đang dần chuyển từ các giải pháp chứng minh khái niệm sang sản xuất trực tiếp.

Swift tập trung vào khả năng tương tác của Blockchain và giải quyết tài sản được mã hóa, thể hiện khả năng kết nối các blockchain riêng tư và công khai khác nhau.

ANZ, với tài sản được quản lý hơn 1 nghìn tỷ USD, đã ra mắt stablecoin cá nhân đầu tiên của Úc và giao dịch tín chỉ carbon được mã hóa.

HKMA đã phát hành 100 triệu USD trái phiếu xanh được mã hóa, nhấn mạnh sự liên kết của trái phiếu được mã hóa với các quy định chứng khoán hiện hành.

Những tiến bộ này cho thấy sự chấp nhận ngày càng tăng về tiềm năng của Blockchain trong tài chính truyền thống, mở đường cho dòng vốn đáng kể vào lĩnh vực Blockchain, được thúc đẩy bởi token hóa.

Có vẻ như thế giới tài chính cuối cùng cũng chuyển sang Blockchain. Tuy nhiên, hóa ra khả năng tương tác với các hệ thống thông thường khác, chẳng hạn như hệ thống lưu ký và hệ thống thanh toán hiện có, rất phức tạp về mặt công nghệ. Những rủi ro liên quan đến nỗ lực này là rất lớn.

Vượt qua những khó khăn về công nghệ có thể dẫn đến việc các tổ chức truyền thống ứng dụng hàng loạt Blockchain và một lượng lớn không chỉ tài chính mà chủ yếu là người dùng.

Cuối cùng, khả năng viết một hợp đồng thông minh như vậy sẽ an toàn nhất có thể, tức là nó sẽ không chứa các lỗ hổng. Mặc dù chúng ta có thể vui mừng về những gì đã đạt được cho đến nay nhưng chúng ta phải thận trọng. Số lượng sự cố bảo mật vẫn còn rất cao trên hai nền tảng hợp đồng thông minh được sử dụng nhiều nhất là chuỗi Ethereum và BNB.

Áp dụng từ dưới lên

Việc ứng dụng DeFi không chỉ liên quan đến các tổ chức. Nó cũng nói về những người hàng ngày có thể hưởng lợi từ việc sử dụng stablecoin và các ứng dụng tài chính phi tập trung. Tuy nhiên, để thực hiện được điều này, tính bảo mật của các nền tảng này phải được tăng cường đáng kể, từ đó giảm số lượng sự cố bảo mật.

Trong thế giới tài chính truyền thống, cơ sở hạ tầng là nguồn đóng và tập trung, được quản lý bởi các chuyên gia CNTT và bảo mật. Hầu hết các gian lận đều được phát hiện và giải quyết bởi hệ thống pháp luật. Cấu trúc này có những ưu điểm như mức độ kiểm soát cao và khả năng phản ứng nhanh với các mối đe dọa. Tuy nhiên, nó cũng có những mặt hạn chế như thiếu minh bạch và tiềm ẩn nguy cơ lạm dụng quyền lực.

Blockchain giải quyết những hạn chế của cơ sở hạ tầng tài chính tập trung, nhưng không được mang lại những hạn chế khác. Phi tập trung sẽ mất đi ý nghĩa đối với hầu hết người dùng nếu không thể đạt ất lượng bảo mật như nhau.

Người dùng DeFi nên ưu tiên các dự án nguồn mở. Bản chất nguồn mở cho phép tính minh bạch cao hơn và sự tham gia của cộng đồng, điều này có thể dẫn đến các hệ thống mạnh mẽ và an toàn hơn.

Tuy nhiên, nó cũng đặt ra những thách thức đặc biệt về mặt bảo mật. Mã này được cung cấp công khai cho bất kỳ ai xem xét kỹ lưỡng, kể cả những kẻ tấn công tiềm năng. Do đó, các hợp đồng thông minh phải được kiểm tra kỹ lưỡng và thử nghiệm thực tế theo thời gian để đảm bảo tính bảo mật của chúng.

Khi các ứng dụng này đứng vững trước thử thách của thời gian và chứng minh được tính bảo mật của chúng, mọi người sẽ bắt đầu sử dụng chúng nhiều hơn. Đây là một quá trình diễn ra từ từ vì niềm tin cần được xây dựng theo thời gian. Người dùng cần cảm thấy tự tin rằng tài sản của họ được an toàn và nền tảng sẽ hoạt động như mong đợi.

Càng có ít sự cố thì người dùng càng tin tưởng vào nền tảng này.

Việc ứng dụng DeFi là một quá trình nhiều mặt, không chỉ liên quan đến các tổ chức mà còn cả người dùng hàng ngày. Nó đòi hỏi một sự cân bằng tinh tế giữa sự cởi mở và bảo mật. Khi DeFi tiếp tục trưởng thành và phát triển, chúng ta có thể mong đợi sẽ thấy lượng lớn người dùng nhìn thấy lợi ích của việc Phi tập trung và tiềm năng của công nghệ Blockchain.

Cardano và việc ứng dụng từ dưới lên

Cardano ở đâu? Trong báo cáo từ CERTIK, nó không được đề cập rõ ràng trong bối cảnh xảy ra sự cố bảo mật. Điều này phần lớn là do TVL thấp hơn so với Ethereum và BNBChain.

Nếu số lượng người dùng và TVL tăng lên, Cardano sẽ thu hút được sự chú ý của những kẻ tấn công.

Cho đến nay, Cardano có trạng thái hợp đồng thông minh của một nền tảng chưa bao giờ bị hack trong DeFi. Điều đó có thể thay đổi nhanh chóng. Không thể ngăn chặn các hành vi lừa đảo thoát hoặc các loại tấn công khác nhau. Tuy nhiên, tất cả chúng ta đều mong đợi sẽ thấy ít lỗ hổng hơn trong mã nguồn.

Nếu bạn xem xét các dự án mà theo báo cáo bảo mật đã xảy ra một số sự cố bảo mật nghiêm trọng, bạn sẽ thấy rằng TVL của chúng nhỏ hơn đáng kể hoặc tương tự như TVL của Cardano.

Ví dụ: Base có TVL là 400M, gần giống với TVL của Cardano. Tổng cộng có 4 sự cố xảy ra.

Core, Fantom, Scroll và zkSync là những dự án có TVL nhỏ hơn đáng kể so với Cardano và những kẻ tấn công đã thành công trong ít nhất một trường hợp. Từ đó, có thể kết luận rằng Cardano là một nền tảng hợp đồng thông minh hấp dẫn đối với những kẻ tấn công, nhưng chúng đã không thực hiện bất kỳ cuộc tấn công đáng kể nào (CERTIK sẽ đề cập trong báo cáo).

Đối với những kẻ tấn công, đây là một nền tảng hấp dẫn mà trên đó hàng chục triệu USD bị khóa. Hàng trăm triệu USD đang bị khóa trên Cardano.

Chúng tôi có thể nói rằng Cardano rất có thể không có vụ hack nào vì lý do đây là một nền tảng an toàn và mã của bên thứ ba không chứa các lỗ hổng nghiêm trọng.

Lời kết

Trong những năm tới, số lượng sự cố bảo mật sẽ là một trong những động lực chính thúc đẩy việc ứng dụng. Các dịch vụ DeFi thường rất giống nhau theo quan điểm của người dùng, nhưng về cơ bản chúng có thể khác nhau về mặt bảo mật. Nếu bất kỳ nền tảng hợp đồng thông minh nào, có thể là Cardano hoặc bất kỳ nền tảng nào khác, trở nên an toàn hơn đáng kể so với các nền tảng khác, thì nó có cơ hội giành được thị phần đáng kể.

Thực tế là một khi TVL của một hệ sinh thái vượt quá 1 tỷ USD thì sẽ có ít nhất 2 sự cố nghiêm trọng xảy ra mỗi năm. Đây vẫn là một kết quả rất kém trong bối cảnh TVL có thể khổng lồ như thế nào nếu việc ứng dụng hàng loạt bắt đầu. Các dự án Tron, Avalanche, Solana và Optimism đang đi đúng hướng vì chúng có TVL khoảng 1 tỷ USD trở lên nhưng số lượng sự cố bảo mật rất thấp. Hy vọng Cardano sẽ tham gia cùng họ.

Nguồn bài viết tại đây

Picture

Đọc thêm các bài viết liên quan tại thẻ Tags bên dưới