Nhu cầu cấp tiến về việc cập nhật các giao thức bảo mật blockchain

Tài chính phi tập trung (DeFi) ở đây để tồn tại với hơn 100 tỷ đô la tổng giá trị bị khóa (TVL), làm nổi bật bằng chứng về niềm tin vào các công cụ tài chính mới này. Khoản đầu tư này sẽ tiếp tục tăng lên, nhưng có vẻ như với mỗi kỷ lục mới trong TVL, lại có một vụ tấn công mạng khác được báo cáo với mức thiệt hại khủng khiếp.

Tội phạm tiền điện tử đã giảm 57% vào năm 2020, nhưng các vụ tấn công DeFi đã tăng mạnh, khiến các công ty và nhà đầu tư thiệt hại hàng tỷ đô la Mỹ. Chỉ riêng trong tháng 3, đã xảy ra một số cuộc tấn công chỉ trong vòng 5 ngày, với Paid Network thiệt hại 180 triệu đô la. Cuối tháng 5, PancakeBunny mất hơn 200 triệu đô la trong một vụ khai thác cho vay chớp nhoáng.

Rõ ràng là có quá nhiều lỗ hổng và lỗ hổng trong các giao thức bảo mật blockchain hiện tại. Từ việc kéo thảm cho đến các trò gian lận lừa đảo, bảo mật và công nghệ của không gian này vẫn chưa hoàn thiện như những con số đã làm ra. Nhưng có những thực tiễn quan trọng mà cả nhà phát triển và người dùng có thể thực hiện để thu hẹp khoảng cách này.

Công nghệ phi tập trung vẫn mang tính tập trung

Cho dù một giao thức được tuyên bố là phi tập trung như thế nào, thì cấu trúc cơ bản vẫn là tập trung. Nhìn vào một trong những tính năng cốt lõi của chúng tôi về internet, bản ghi DNS, mọi tên miền vẫn thuộc quyền sở hữu tập trung – thuộc sở hữu của chính phủ, nhà nước hoặc công ty có quyền tối cao đối với tên miền và có thể tắt nó nếu họ chọn.

Một ví dụ về tập trung trong phân quyền là các hợp đồng thông minh. Những người viết hợp đồng thông minh Ethereum hoặc Binance có tiếng nói cuối cùng về những gì trong mã và có nhiều cách để mã hóa các chương trình bất chính, như kéo thảm, thành hợp đồng thông minh.

Trong thời kỳ bùng nổ canh tác năng suất vào mùa hè năm 2020, chúng tôi đã chứng kiến ​​nhiều giao thức xuất hiện để thu lợi nhuận từ số tiền đổ vào DeFi và điều này tiếp tục diễn ra trong năm nay. Vào tháng 3, TurtleDex đã thực hiện một cú kéo thảm, đây thực sự là một cửa hậu trong hợp đồng thông minh, dẫn đến việc các nhà đầu tư bị đánh cắp 2,5 triệu đô la. Tính năng có chủ đích này cho phép các nhà phát triển lập trình các trò gian lận sau đó được thực thi tùy thuộc vào các sự kiện khác trong mã và TurtleDex là một trong số nhiều dự án trong năm nay đã lập trình kéo tấm thảm.

Có liên quan: Nuôi lợi nhuận đang là mốt, nhưng DeFi hứa hẹn sẽ thay đổi cách chúng ta tương tác với tiền

Kiểm tra hợp đồng thông minh là một cách tốt để ngăn chặn việc kéo thảm, nhưng ngay cả sau đó chúng tôi cũng thấy các trường hợp nhà phát triển sẽ chuyển hợp đồng thông minh đã được kiểm toán cho hợp đồng chưa được kiểm tra. Trường hợp của Compounder cho thấy một dự án lừa đảo dễ dàng chiếm được danh tiếng của những cái tên nổi tiếng, có uy tín trong không gian. Họ đã có thể nhanh chóng tận dụng Harvest Finance và Yearn.finance trước khi kéo tấm thảm lên người dùng của họ và bỏ đi với hàng triệu đô la tiền điện tử.

Có liên quan: Kiểm toán mặc định cho các dự án DeFi là điều bắt buộc để phát triển ngành

Xu hướng hack gần đây

Ngoài việc kéo thảm, có rất nhiều cuộc tấn công phổ biến có thể khiến toàn bộ công ty sụp đổ nếu họ không chuẩn bị. Một cuộc tấn công 51% – tức là khi một nhóm thợ đào kiểm soát hơn 50% tỷ lệ băm khai thác của mạng, cho phép họ loại trừ hoặc thao túng các bản ghi giao dịch để thực hiện chi tiêu kép hoặc phá vỡ chuỗi khối – vẫn thường xuyên xảy ra. Firo và Grin gần đây đều bị tấn công 51%.

Ngay cả một số dự án tiền điện tử với quy mô vốn hóa thị trường hàng đầu vẫn không an toàn. Vào tháng 2, có báo cáo rằng 200 ngày giao dịch XVG trên mạng Verge đã bị xóa, đây thực sự là “sự kiện sâu sắc nhất từng diễn ra trong 100 tiền điện tử hàng đầu”.

Chúng tôi chấp nhận những lỗi này như một phần của trải nghiệm blockchain, nhưng phản ứng sẽ ra sao nếu điều tương tự xảy ra với một ngân hàng lớn, chẳng hạn? Có thể sẽ có nhiều tiêu đề trên các phương tiện truyền thông và sự náo động từ người dùng và khách hàng. Những sự kiện này hầu như không được chú ý trong tiền điện tử vì có ít người dùng hơn, nhưng với thị trường tăng giá gần đây, điều này đang thay đổi. Chắc chắn, sự giám sát chặt chẽ hơn sẽ được đặt ra đối với tính bảo mật của các blockchain công khai.

Các phương pháp ngăn chặn hack như kéo thảm

Thật không may cho các nhà phát triển, hack luôn có khả năng xảy ra khi hoạt động trong lĩnh vực tiền điện tử. Câu hỏi không phải là làm thế nào để ngăn chặn hack mà là làm thế nào để ngăn chặn khả năng bạn bị hack. Một số tiến bộ trong ví phần cứng – chẳng hạn như ví đa chữ ký của Gnosis Safe – là những yếu tố quan trọng để cải thiện bảo mật tổng thể.

Sử dụng ví multisig cho phép nhiều người dùng giữ các khóa cho cùng một ví và yêu cầu sự tham gia của cả hai để thực hiện các hành động trên tài khoản. Bởi vì một ví như thế này yêu cầu đầu vào từ nhiều người dùng để thực hiện giao dịch, nên hầu như không thể thực hiện kéo thảm với loại vault này.

Một phương pháp bảo mật khác để ngăn chặn việc kéo tấm thảm là timelocks. Nhiều ứng dụng phi tập trung sử dụng timelocks để nếu một nhà phát triển cố gắng kéo người dùng của họ, bạn sẽ có cảnh báo trong khoảng 12 đến 24 giờ để xóa tiền.

Những loại thực hành bảo mật này sẽ khuyến khích sự tin tưởng rộng rãi hơn vào DeFi và tạo ra một văn hóa xung quanh bảo mật sẽ thúc đẩy ngành công nghiệp của chúng tôi.

Cải thiện bảo mật ví tiền điện tử

Bảo mật của ví cuối cùng là do các nhà phát triển và người dùng thực hiện các phương pháp thông minh hơn. Kiểm tra bảo mật thường xuyên và thực hành bảo mật nội bộ đều có thể góp phần làm cho ví an toàn hơn.

Mặc dù kiểm tra bảo mật là một giải pháp tốt, Uniswap và các sàn giao dịch phi tập trung dựa trên nhà tạo lập thị trường tự động khác (DEX) không được phép, do đó không thể thực hiện kiểm tra thường xuyên. Thực tiễn tốt nhất là hiểu các chi tiết cụ thể về tiền xu “khởi chạy hợp lý” – các dự án được khởi chạy từ DEX. Mặc dù nhiều dự án trong số này có chất lượng cao, nhưng nhiều dự án đã được biết đến là có những kỳ tích lớn. Mã nguồn mở giúp mọi người dễ dàng tự kiểm tra và xác minh xem hợp đồng thông minh có an toàn hay không, cung cấp cho người dùng nhiều công cụ hơn để thực hành bảo mật tốt.

Yêu cầu người dùng thực hiện bảo mật tốt có vẻ như là một kỳ công lớn, nhưng điều đó là bắt buộc để có thể tiếp cận nhiều lợi ích của tiền điện tử và đặc biệt là DeFi. Với các ngân hàng truyền thống, ngân hàng chịu trách nhiệm về bảo mật, nhưng trong tiền điện tử, bảo mật phụ thuộc vào thực tiễn của các nhà phát triển và người dùng.

Nếu bạn quên mật khẩu ngân hàng của mình hoặc gửi tiền cho sai người, bạn có thể liên hệ với ngân hàng của mình để giảm nhẹ giao dịch cho đến khi nó được giải quyết. Nhưng trong tiền điện tử, nếu bạn mất chìa khóa hoặc gửi tiền đến sai địa chỉ, không có tùy chọn dự phòng. Tất nhiên, một trong những ưu điểm của nó là bạn không phải lo lắng về việc liệu tiền của mình có sẵn bằng tiền điện tử hay không, trong khi các ngân hàng có thể đóng cửa và áp đặt các biện pháp kiểm soát vốn, như những gì đã xảy ra trong cuộc khủng hoảng ngân hàng Hy Lạp năm 2015.

Phần kết luận

Với tư cách là nhà phát triển, chúng ta cần thực hiện kiểm tra bảo mật và xác thực chéo, cùng với việc quy trách nhiệm cho nhau trong việc phát triển các phương pháp bảo mật ngày càng được cải thiện.

Người dùng nên cân nhắc việc thực hiện các giao thức bảo mật của riêng họ và hiểu các sắc thái trong việc lưu trữ và các trường hợp tấn công tiềm ẩn. Một phương pháp hay cho những người nắm giữ tiền điện tử thụ động là ngắt kết nối ví phần cứng với internet hoặc ví giấy ngoại tuyến 100% và không yêu cầu đồng bộ hóa trực tuyến cho bất kỳ bản cập nhật chương trình cơ sở nào.

Các cuộc tấn công lừa đảo, một trong những hình thức tấn công internet ban đầu, vẫn còn phổ biến và thường xuyên. Cách để chống lại các nỗ lực lừa đảo là xác minh xem người gửi có phải là chính hãng hay không.

Không nhập khóa cá nhân hoặc cụm từ hạt giống của bạn trên bất kỳ trang web nào hoặc gửi chúng cho bất kỳ ai trong các kênh công khai hoặc DM. Nói chung, bạn chỉ nên nhập cụm từ hạt giống của mình khi bạn thiết lập ví ban đầu. Hơn nữa, bạn chỉ nên nhập cụm từ hạt giống của mình nếu bạn cần khôi phục ví sau khi quên mật khẩu, cần nhập ví hiện có vào thiết bị mới hoặc sử dụng phần mềm ví tương thích. Thông thường, bạn nên sử dụng các thiết bị ví phần cứng sẽ không bao giờ làm rò rỉ hạt giống của bạn cho bất kỳ loại phần mềm nào – thậm chí không phải ứng dụng ví đáng tin cậy hoặc phần mềm nào cũng có thể được đề xuất trong nhiều trường hợp.

Khi chúng tôi tiếp tục xây dựng nền kinh tế DeFi toàn cầu (chủ yếu) mới của mình, điều quan trọng là phải cải thiện an ninh để việc áp dụng chính thống và vốn có thể tiếp tục chảy vào không gian, để thế hệ tiếp theo có thể tiếp cận các biên giới mới của sự độc lập về tài chính.