Phỏng vấn: Tại sao tin tặc tiếp tục tấn công giao thức DeFi, giải pháp?

Việc tin tặc tấn công không gian DeFi và ngành công nghiệp tiền điện tử nói chung tiếp tục là một nguyên nhân gây lo ngại cho ngành.

Được biết, 169 sự cố hack blockchain đã diễn ra vào năm 2021, với gần 7 tỷ đô la tiền quỹ bị mất vào tay tin tặc. Trong tháng qua, không dưới 5 trường hợp hack tiền điện tử đã được báo cáo với giao thức DeFi Cream Finance, trường hợp mới nhất bị tấn công bởi những tin tặc này. Hơn 130 triệu đô la được cho là đã bị đánh cắp.

Giám đốc điều hành và Người sáng lập tại HashEx, một công ty R&D tập trung vào tích hợp blockchain trong các quy trình kinh doanh và an ninh mạng Dmitry Mishunin đã có những chia sẻ về vấn đề này. Dmitry có nền tảng kỹ thuật vững chắc về an ninh mạng và các ứng dụng phi tập trung cũng như kinh nghiệm ấn tượng trong việc phát triển hệ thống bảo mật thông tin.

Dưới đây là trích đoạn cuộc phỏng vấn

PV: Anh có ngạc nhiên về số lượng các vụ hack và khai thác mà người dùng đang phải đối mặt gần đây không?

Dmitry Mishunin: Thật không may là không. Chúng ta thấy rằng ngày càng có nhiều người viết các hợp đồng thông minh của họ. Nhưng thường thì họ không có đủ kiến ​​thức về lập trình và hiểu rõ về Solidity -  hiện tại là ngôn ngữ lập trình duy nhất tương thích với Ethereum. Có hiểu biết tốt về ngôn ngữ lập trình là điều bắt buộc để tạo ra một giao thức DeFi đáng tin cậy và việc không biết một số sắc thái của nó có thể dễ dàng dẫn đến việc khai thác và đánh cắp tiền.

PV: Làm thế nào mà có thể chấp nhận hoặc ký hợp đồng thông minh có chứa mã độc hại dẫn đến việc tài sản bị đánh cắp?

Dmitry Mishunin: Mọi người dùng nên biết rằng các giao dịch blockchain là không thể đảo ngược: khi bạn chấp thuận một số lượng nhất định mã thông báo ERC-20 cho hợp đồng thông minh ERC-20, nó sẽ chuyển sang hợp đồng đó mà không thể đảo ngược. Một hợp đồng có thể có mã nguồn đã được xác minh mà không cần khai thác nhưng cũng có thể có một số thư viện chưa được xác minh làm phụ thuộc. Phê duyệt mã thông báo cho một hợp đồng như vậy là một rủi ro lớn vì bạn không thể kiểm tra cách hoạt động của thư viện.

Đó là trường hợp của dự án StableMarket, khi số tiền của người dùng trị giá ít nhất 27 triệu đô la đã bị đánh cắp. Các hợp đồng của dự án StableMarket có mã đã được kiểm toán nhưng đã được triển khai với một thư viện chưa được xác minh. Thư viện này độc hại và nó đã đánh cắp mã thông báo của người dùng được lưu trữ trong giao thức.

Một rủi ro khác đối với người dùng là phê duyệt mã thông báo cho một hợp đồng thông minh có thể nâng cấp: một hợp đồng như vậy có thể tự động được nâng cấp bằng mã độc hại và đánh cắp các mã thông báo đã được phê duyệt.

Thường thì các ứng dụng giao diện người dùng phê duyệt số lượng mã thông báo tối đa cho một hợp đồng, không chỉ số lượng mã thông báo sẽ được sử dụng. Nó được thực hiện để thanh toán cho gas trong một giao dịch duy nhất. Nếu người dùng ký gửi mã thông báo vào một hợp đồng, anh ta sẽ cần phải trả thêm tiền cho gas. Nhưng nếu một hợp đồng hoạt động có hại, trong trường hợp đó, nó có thể rút bất kỳ số lượng mã thông báo nào từ ví.

Vì vậy, thực tiễn tốt nhất để bảo mật tối đa là luôn kiểm tra số tiền phê duyệt và chỉ phê duyệt số tiền cần thiết cho hoạt động hợp đồng.

PV: Có phải tin tặc ngày càng thông minh hơn hay người dùng tiền điện tử ngày càng ít thận trọng hơn với các quy trình an ninh mạng của họ?

Dmitry Mishunin: Cả hai câu đều đúng. Tin tặc đã đạt được tiến bộ nghiêm trọng trong việc khai thác các nền tảng cho vay nhanh song song với các giao thức khác nhau để tạo và khai thác các lỗ hổng. Về bản chất, các nền tảng khác hầu hết đều an toàn, nhưng các khoản vay nhanh tạo ra sự phức tạp hơn về cấu trúc, khiến các lỗ hổng thường xuyên xảy ra hơn.

Các cuộc tấn công như vậy rất phức tạp. Ngay cả việc phân tích chúng cũng mất rất nhiều thời gian. Và cũng có rất nhiều bản hack của các dự án chỉ có mã kém với các lỗi đơn giản, trong đó rất có thể sẽ bị loại bỏ nếu các thử nghiệm được thực hiện hoặc mã đã được kiểm tra đúng cách.

Một phần nguyên nhân cũng nằm ở người dùng, vì nhiều người trong số họ biết về các phương pháp an toàn để giảm thiểu rủi ro, chẳng hạn như kho lạnh. Nhưng họ thường bỏ qua chúng, đánh mất lý trí trước cơ hội có thể mang lại ROI gấp nhiều lần cho họ. Đôi khi, họ cuối cùng chỉ đơn giản là mất tiền.

PV: Làm cách nào để người dùng có thể bảo vệ tài sản của họ tốt hơn trên Metamask và các dapp liên quan như OpenSea và DeFi?

Dmitry Mishunin: Cách bảo vệ tốt nhất là không lưu trữ tất cả tài sản trong ví nóng mà gửi chúng vào ví lạnh: ví sau không có quyền truy cập Internet. Tốt nhất chỉ nên lưu trữ một lượng nhỏ tài sản cần thiết cho các hoạt động trong ví nóng và giữ phần còn lại trong kho lạnh.

Trên hết, người dùng nên tuân thủ các quy tắc bảo mật tiêu chuẩn: sử dụng các phần mềm chống vi rút, tránh mở các liên kết đáng ngờ trong email và sử dụng xác thực hai yếu tố khi có thể.

PV: Bạn có nghĩ rằng hack và khai thác sẽ trở nên phổ biến hơn khi ngành công nghiệp này phát triển không?

Dmitry Mishunin: Khi ngành công nghiệp phát triển và nhiều dự án được khởi chạy, nhiều người trong số họ sẽ đối mặt với nguy cơ bị tấn công. Bạn không thể loại bỏ tất cả các lỗi trong tất cả các dự án, nhưng các công ty bảo mật blockchain không ngừng làm việc để giảm thiểu chúng. Điều đó không chỉ bao gồm việc kiểm tra mã nguồn của dự án mà còn phát triển các công cụ phân tích sẽ giúp ngăn chặn hoàn toàn các lỗi xuất hiện hoặc ít nhất là tìm thấy chúng ở giai đoạn đầu của quá trình phát triển.

PV: HashEx đóng vai trò gì trong việc mở rộng ngành công nghiệp tiền điện tử?

Dmitry Mishunin: Chúng tôi giúp mọi người hiểu rõ về tính minh bạch và an toàn của việc sử dụng các ứng dụng phi tập trung. Logic của công việc quá phức tạp và không rõ ràng để một người dùng bình thường có thể hiểu được. Ngoài ra, không một người nhạy bén nào lại giao tiền của mình cho một thứ mà họ không hiểu, như Pinocchio ở cánh đồng Phép màu. Chúng tôi giải thích các khái niệm phức tạp một cách dễ hiểu và làm sáng tỏ những cạm bẫy mà mọi người nên biết và cố gắng tránh, đồng thời chúng tôi cũng giúp các nhà đầu tư tiềm năng đưa ra quyết định sáng suốt về quỹ của họ.

Nhưng chủ yếu chúng tôi là một công ty kiểm toán tập trung vào DeFi và tiền điện tử. Điều đó có nghĩa là chúng tôi thực hiện rất nhiều cuộc kiểm tra các hợp đồng thông minh và do đó giúp các dự án tiền điện tử nhận được sự tin tưởng của các nhà đầu tư. Vì các nhà đầu tư tin tưởng hơn vào các dự án được bảo vệ tốt khỏi những sai lầm tốn kém có thể ảnh hưởng đến tài chính của họ.

PV: Suy nghĩ của anh về cả G7 và Tổng thống Mỹ Joe Biden về các động thái của ông ấy nhằm chấm dứt phần mềm tống tiền, an ninh mạng và các vụ hack tiền điện tử thường xuyên?

Dmitry Mishunin: Cải tiến liên tục các tiêu chuẩn bảo mật là một phần trong thói quen và hệ tư tưởng của công ty chúng tôi. Chúng tôi cố gắng mang lại niềm tin vào không gian DeFi không tin cậy. Và vấn đề này rất quan trọng trong bất kỳ lĩnh vực CNTT nào, không chỉ DeFi. Với sự xuất hiện nhanh chóng của các sản phẩm phần mềm mới, khía cạnh an ninh mạng lại không được quan tâm đúng mức, điều này tạo cơ hội cho tin tặc khai thác. Có hai lý do chính cho điều này: "lập trình bằng cách nhấp chuột" và lực lượng lao động chất lượng thấp đang được cung cấp mức lương lớn một cách không cần thiết.

Đây là một mặt trái của các doanh nghiệp CNTT đang phát triển nhanh chóng. Trong môi trường hỗn tạp này, các doanh nghiệp đang cố gắng đi trước nhau, đưa ra các sản phẩm mới và đôi khi làm ngơ trước các vấn đề an ninh bất chấp tầm quan trọng của chúng. Do đó, đôi khi chúng tôi nhận được các hệ thống lớn, được nhiều khách hàng sử dụng, trong khi vẫn có lỗi trong đó có thể dẫn đến mất tiền của người dùng. Đôi khi, hậu quả của những lỗi này thậm chí có thể trên toàn châu lục.

Từ quan điểm này, sự can thiệp của chính phủ là hoàn toàn chính đáng. Nếu không có chính quyền các bang can dự vào những vấn đề này, thì còn ai có thể kìm hãm những người kinh doanh tham lam và thuyết phục họ dành nỗ lực cho các biện pháp an ninh và phát triển phần mềm một cách hợp lý?

Nếu mọi người bắt đầu báo cáo các vụ hack cho các cơ quan chính phủ thì điều đó sẽ có tác dụng tích cực. Thông tin kịp thời có thể giúp giảm thiểu hậu quả của sự cố có thể xảy ra bằng cách cho phép tham gia vào các kênh dự trữ (tình hình cung cấp dầu cho Bờ Đông Hoa Kỳ có thể được xem là một ví dụ điển hình của thực tiễn này).

Các tiêu chuẩn bảo mật thống nhất trong toàn ngành cũng sẽ hoạt động tốt nếu chúng được phát triển bởi các chuyên gia chứ không phải bên ngoài. Ngay cả ở giai đoạn đầu của quá trình phát triển DApp hiện tại, chúng tôi đang thấy các tiêu chuẩn như vậy được thực hiện bởi các kiểm toán viên hàng đầu. Việc tích hợp các giao thức như vậy sẽ giúp ích cho tất cả mọi người: nó sẽ giúp lập trình dễ dàng hơn, mã an toàn hơn và nó cũng sẽ bảo vệ tiền của người dùng.

PV: Những vụ hack này nói lên tác động của chúng đối với ngành công nghiệp tiền điện tử?

Dmitry Mishunin: Phản hồi cho ngành công nghiệp tiền điện tử là một nỗ lực để kiểm soát các khoản tiền bị đánh cắp. Tôi nghĩ đó là một điều tốt. Hiện tại, bạn không thể có được tất cả các tiện nghi của thế giới thực thông qua tiền điện tử. Tình hình này đang thay đổi từng ngày, nhưng còn lâu mới trở thành hoàn hảo. Do đó, tin tặc vẫn yêu cầu một cầu nối giữa các quỹ tiền điện tử và tiền pháp định để rút các khoản tiền có được một cách bất hợp pháp. Đây là giai đoạn mà tội phạm có thể được xác định. Càng nhiều người trong số họ được tìm thấy, sẽ càng ít người sẵn sàng cố gắng làm lại. Người ta có thể nghĩ lại cách họ từng chặt các bộ phận cơ thể để trộm cắp trong các nền văn hóa phương Đông. Những can thiệp như vậy từ các cơ quan thực thi pháp luật đang có ảnh hưởng hoàn toàn tích cực đến ngành công nghiệp tiền điện tử và danh tiếng của nó. Những hành động này khiến mọi người cảm thấy an toàn hơn.

PV: Những kẻ xấu/người chơi đứng đằng sau nhiều vụ hack tiền điện tử này, anh sẽ đề xuất biện pháp trừng phạt nào cho họ để răn đe những người khác?

Dmitry Mishunin: Như tôi đã nói trước đây, tôi muốn trừng phạt những cá nhân như vậy. Tôi sẽ coi các hoạt động đó là gian lận tài chính với mức độ nghiêm trọng khác nhau và áp dụng hành động pháp lý tương ứng đối với chúng. Tôi sẽ không cố gắng đưa ra luật mới vào thời điểm này.

PV: Một thế giới tiền điện tử mà không có hack là điều gần như không thể đạt được, làm cách nào để các bên liên quan, các nhà hoạch định chính sách và tất cả mọi người có thể giảm thiểu các cuộc tấn công xuống mức tối thiểu nhất?

Dmitry Mishunin: Bất kỳ lĩnh vực CNTT nào đều không thể hình dung được nếu không có các mối đe dọa trực tuyến. Nhưng khi nói về các doanh nghiệp thông thường, chúng ta chỉ thấy phần nổi của tảng băng chìm chứ không phải toàn cảnh. Có rất nhiều vụ hack khác đang diễn ra gây chú ý vì các công ty có thể làm suy yếu danh tiếng của họ nếu những kiến ​​thức đó được công khai. Với tiền điện tử, mọi thứ đều minh bạch và được công khai, vì vậy các phương tiện truyền thông đại chúng viết về những điều này thường xuyên hơn.

An ninh mạng là một thực tiễn đa chiều, bao gồm các khuôn khổ quy định tại các điểm xuất và nhập tiền điện tử thành fiat, giáo dục người dùng, các nhóm an ninh mạng kiểm tra mã, v.v. Ngành này vẫn còn non trẻ, mang lại cơ hội tuyệt vời để điều khiển nó đi đúng hướng của sự phát triển. Bằng cách này, chúng ta có thể sử dụng các phương pháp an toàn hơn ngay từ đầu, thay vì cố gắng vá các lỗ hổng ở đâu đó trong quá trình phát triển.

Theo cryptopolitan

Đăng nhận xét

Please Select Embedded Mode To Show The Comment System.*

Mới hơn Cũ hơn
BuyBitcoinswithCreditCard