Ý kiến của: Eric Waisanen, người sáng lập và CEO của Astrovault.
Rất công bằng khi nói rằng không ai thực sự ưa thích hai yếu tố xác thực (2FA). Dù sao, tùy thuộc vào nền tảng, nó có thể là một rào cản lớn, kéo dài thời gian cho một nhiệm vụ có thể đang khẩn cấp. 2FA giờ đây là một bước bảo vệ cơ bản đảm bảo tính an toàn của dữ liệu quý giá của chúng ta. Mặc dù có sự bất tiện tạm thời, nhưng lợi ích từ việc duy trì sự toàn vẹn dữ liệu vượt xa những khó chịu nhỏ nhặt.
Chỉ dựa vào 2FA hoặc biện pháp bảo mật bổ sung là không đủ. Bảo mật không chỉ đơn thuần là một hộp kiểm hay một đợt kiểm tra định kỳ — đó là một cam kết liên tục để theo kịp các mối đe dọa khi chúng tiến hóa cùng công nghệ mới. Điều này đặc biệt đúng với các sàn giao dịch phi tập trung (DEX), nơi sự vắng bóng của sự giám sát trung tâm và giá trị tài sản cao làm tăng mức độ nghiêm trọng.
Trong bối cảnh này, ưu tiên bảo mật trở nên cấp thiết hơn bao giờ hết để ngăn ngừa tổn thất và thiết lập một khung pháp lý bảo vệ niềm tin và tính đáng tin cậy. Nếu bảo mật không phải là ưu tiên hàng đầu của bạn trong vai trò nhà phát triển DEX, có lẽ đã đến lúc xem xét lại vị trí của mình.
Quan cảnh bảo mật của DEX
Một trong những điểm hấp dẫn nhất của một DEX là mức độ ẩn danh mà nó mang lại. DEX trao cho người dùng quyền kiểm soát hoàn toàn tài sản của họ bằng cách loại bỏ sự cần thiết phải xác minh danh tính cá nhân. Điều này có nghĩa là người dùng có thể quản lý các khóa cá nhân và thực hiện giao dịch mà không cần trung gian, luôn giữ quyền sở hữu vốn.
Soi chiếu với các đối tác tập trung, các DEX vẫn hoạt động dưới sự giám sát pháp lý hạn chế, nghĩa là chúng tự do sáng tạo và triển khai các tính năng mà không bị ràng buộc bởi các quy định tài chính truyền thống. Khi không có sự giám sát trung tâm, điều này tạo lợi thế cho sự riêng tư và kiểm soát, đồng thời cũng là con dao hai lưỡi cho bảo mật.
Các DEX không tránh khỏi các cuộc tấn công nổi bật. Chỉ riêng quý đầu năm 2024 đã chứng kiến hơn 336 triệu USD tài sản kỹ thuật số bị đánh cắp từ các nền tảng DeFi (DeFi).
Trước những thách thức bảo mật này, cường độ hack DEX cũng gia tăng. tháng 8 vừa qua, “jaredfromsubway,” một bot giá trị tối đa có thể chiết xuất (MEX) khét tiếng, đã tái khởi động với các kỹ thuật hack mới và cải tiến như thêm và loại bỏ thanh khoản từ các nhóm DEX như một phần của cuộc tấn công “sandwich”.
Bạn có thể tự hỏi một chiếc sandwich kết nối như thế nào với các sàn phi tập trung. Trong bối cảnh của DEX, một cuộc tấn công sandwich là một chiến thuật thao túng thị trường lợi dụng sự minh bạch và bất biến của công nghệ blockchain. Kẻ tấn công chen vào giữa hai giao dịch liên quan đến một tài sản mục tiêu, thường là để thực hiện các giao dịch mang lại lợi ích cho họ trong khi lợi dụng người khác.
Những cuộc tấn công tinh vi này đã cho phép bot thu thập hàng triệu USD bằng Ether (ETH) — và làm nổi bật bản chất tiến hóa của các điểm yếu trong các sàn giao dịch phi tập trung.
Các cuộc kiểm toán bảo mật từ trước đến nay vẫn là cách hiển nhiên để bảo vệ các sàn giao dịch và tạo sự tự tin cho người dùng. Mặc dù vậy, các cuộc kiểm toán bảo mật đơn lẻ không thể đảm bảo an toàn cho một hệ thống, vì các vụ vi phạm nổi bật đã xảy ra trên những nền tảng được xem là an toàn trước đây.
Đã tám năm trôi qua kể từ khi DEX đầu tiên được ra mắt. Trong khi việc gặp một số trục trặc trên hành trình là điều tự nhiên, ngành công nghiệp này cần phải củng cố phòng thủ để chống lại các mối đe dọa đã biết và mới nếu muốn người dùng cảm thấy an toàn trong việc quản lý tài sản của mình.
Khắc phục tình trạng bảo mật không đầy đủ
Bạn là một nhà phát triển DEX, người đã đầu tư vô số thời gian, năng lượng và tài nguyên vào một tính năng mới hay một thuật toán tinh vi, chỉ để một lỗ hổng an ninh phá hủy tất cả ngay trước mắt bạn.
Cảm giác phấn khích khi sử dụng một sản phẩm hoặc công cụ mới sáng tạo có thể nhanh chóng trở thành ác mộng nếu đầu tư của người dùng bị xâm phạm và mỗi tính năng mới hay cập nhật mở ra một cánh cửa cho những kẻ tấn công ác ý. Một số vấn đề từ các giao thức phi tập trung bắt nguồn trực tiếp từ những sai sót trong thiết kế hơn là các lỗi kỹ thuật. Hệ thống DEX càng đơn giản và dễ sử dụng, thì càng nhiều nỗ lực đã được đặt vào việc bảo vệ phía sau.
Đánh giá các khía cạnh kỹ thuật và kinh tế của giao thức là cần thiết để nhận diện những yếu điểm tiềm ẩn và đảm bảo hệ thống vận hành hiệu quả và an toàn. Nếu các nhà phát triển không hoàn toàn cam kết bảo mật cho nền tảng của họ ngoài các biện pháp cơ bản, họ có thể cần xem xét lại cách tiếp cận tổng thể của mình.
Một công cụ hiệu quả trong kế hoạch bảo mật là chuẩn hóa mọi thứ ngay từ ngày đầu tiên, kể cả những khía cạnh mà một nhà phát triển có thể thấy không cần thiết lúc đầu. Đúng vậy, thực tế là các yếu tố mã hóa phức tạp có thể khiến thay đổi trong tương lai trở nên khó khăn hơn. Bạn đã tạo điều kiện cho một môi trường an toàn hơn khi chuyển các yếu tố thành các thông số, ngay cả khi có sự tham gia của các nhà phát triển khác nhau. Điều đó cho phép điều chỉnh thông qua các thông số cấu hình hơn là giải quyết mã lõi trực tiếp, từ đó nâng cao tính linh hoạt và bảo mật.
Một DEX thất bại trong việc bảo vệ người dùng sẽ thấy giấc mơ thành công của mình trở nên ngắn ngủi. Dù bản chất phi tập trung, thúc đẩy việc truy cập và minh bạch, các nền tảng DEX có trách nhiệm nội tại trong việc thực thi các biện pháp bảo mật bảo vệ người dùng của họ.
Khi các nền tảng này tiếp tục phát triển và thu hút ngày càng nhiều người tham gia vào không gian DeFi, sự căng thẳng giữa công nghệ tiên phong và bảo vệ người dùng chống lại các lỗ hổng không thể tách rời.
Eric Waisanen là người sáng lập và CEO của Astrovault và đã hoạt động trong không gian Web3 từ năm 2017.
