Trong năm qua, cùng với sự phát triển mạnh mẽ của công nghệ điện toán đám mây, công nghệ chuỗi khối (blockchain) ngày càng phổ biến trên thế giới và tại Việt Nam, được ứng dụng trong nhiều lĩnh vực. Theo các chuyên gia, sự phát triển nhanh chóng của blockchain mang lại lợi ích lớn cho nền kinh tế cũng như công nghệ hiện tại nhưng đi kèm rất nhiều thách thức và rủi ro về bảo mật.
Chia sẻ tại hội thảo “Thách thức về bảo mật đám mây hiện đại” được OSAM, AWS cùng Cyradar và SecuriChain tổ chức mới đây, ông Nguyễn Minh Đức, CEO Công ty cổ phần An toàn thông tin CyRadar cho biết, số cuộc tấn công mạng vào các dự án blockchain đã gia tăng rất mạnh trong năm 2021 và có xu hướng tiếp tục gia tăng trong thời gian tới.
Năm 2021 là năm bùng nổ các cuộc tấn công vào dự án blockchain.
Dẫn nguồn báo cáo từ comparitech.com, ông Nguyễn Minh Đức cho hay, các cuộc tấn công mạng vào dự án blockchain đã xảy ra từ khoảng năm 2011 nhưng còn rất ít. Chỉ từ năm 2020 và nhất là trong năm 2021, số cuộc tấn công vào các dự án blockchain “bùng nổ”, tăng mạnh cả về số vụ cũng như con số thiệt hại, gần như bằng tất cả các năm trước cộng lại.
Thiệt hại trực tiếp do các cuộc tấn công mạng vào các dự án blockchain là rất lớn, lên tới hàng tỷ USD. Kéo theo đó là những thiệt hại gián tiếp như giá trị của đồng tiền điện tử bị giảm mạnh, thậm chí là về 0 sau sự cố tấn công.
6/10 vụ tấn công vào các dự án blockchain điển hình và gây thiệt hại lớn trong lịch sử xảy ra trong năm 2021.
Minh chứng rõ hơn cho nhận định của mình, chuyên gia CyRadar cho biết, theo thống kê của SecurityChain, Top 10 cuộc tấn công lớn nhất trong lịch sử vào các dự án blockchain, tiền điện tử tính đến hết tháng 12/2021 có tổng thiệt hại là 2,8 tỷ USD. Tuy nhiên, trong 10 cuộc tấn công này, có đến 6 cuộc xảy ra trong năm 2021, chiếm 60% số cuộc tấn công và thiệt hại cũng chiếm tới trên 50% (hơn 1,4 triệu USD).
“Lý do của sự gia tăng mạnh mẽ tấn công mạng vào các dự án blockchain trong năm 2021 hoàn toàn dễ hiểu, bởi đây là năm bùng nổ của các dự án blockchain. Do tốc độ phát triển nhanh, nhiều dự án blockchain đã bỏ qua những nguyên tắc cơ bản về an toàn, bảo mật trong phát triển phần mềm. Điều đó dẫn đến việc bị hacker tấn công”, chuyên gia CyRadar phân tích.
Ông Nguyễn Minh Đức cho biết thêm, chỉ riêng trong tháng 12/2021, số vụ tấn công vào các dự án blockchain đã là 8 vụ gồm Grim Finance, BitMart, MonoX Finance, Vulcan Forged, AscendEX, Badger DAO, Bent Finance, Visor Finance với tổng thiệt hại lên tới 604 triệu USD.
Đáng chú ý, trong 8 vụ tấn công vào các dự án blockchain xảy ra tháng 12/2021, có 4 vụ nguyên nhân là từ lỗ hổng Smart Contract - vấn đề nằm ở hệ thống blockchain; 4 vụ còn lại do những nguyên nhân khác, phần lớn là các lỗi phần mềm thông thường, lỗi trong quá trình vận hành hay sơ suất trong quá trình quản lý. Chẳng hạn như việc cập nhật bản vá, để lộ key hay chưa tuân thủ một số tiêu chuẩn trong quá trình vận hành.
Thống kê cũng cho thấy, số thiệt hại với 4 vụ tấn công do lỗ hổng Smart Contract của blockchain thường rất nhỏ, lớn nhất là dự án MonoX Finance mất 31 triệu USD; trong khi đó các vụ tấn công do lỗi phần mềm và quy trình vận hành gây thiệt hại rất lớn, chẳng hạn như dự án BitMart xảy ra ngày 5/12/2021 thiệt hại tới 196 triệu USD, dự án Vulcan Forged bị thiệt hại 140 triệu USD.
“Có thể thấy rằng, các dự án blockchain cũng là các dự án phần mềm liên quan nhiều đến lĩnh vực tài chính. Tuy nhiên, nhiều dự án blockchain đang tập trung vào phát triển tính năng, mà có phần lơ là về bảo mật, an toàn thông tin. Việc ưu tiên quan tâm phát triển hệ thống blockchain, mà bỏ qua quy trình vận hành, kiểm thử an toàn của phần mềm trước khi đưa hệ thống vào hoạt động sẽ khiến cho dự án blockchain tiềm ẩn nguy cơ mất an toàn thông tin, bị tấn công”, đại diện CyRadar khuyến cáo.
Nhận định xu hướng tấn công vào các dự án blockchain vẫn tiếp tục gia tăng trong thời gian tới, chuyên gia CyRadar cho rằng đã đến lúc những đơn vị phát triển các dự án blockchain cần đặc biệt quan tâm đến vấn đề an toàn, bảo mật thông tin: “Các lỗ hổng dẫn đến các cuộc tấn công vào dự án blockchain không chỉ là vấn đề từ Smart Contract của blockchain mà còn là những lỗ hổng thông thường, phổ biến của các hệ thống phần mềm. Vì thế, quan tâm đến an toàn thông tin cho các dự án blockchain thì phải tổng thể gồm cả các vấn đề của blockchain và không phải blockchain. Bên cạnh đó, việc kiểm toán cho các dự án blockchain phải được quan tâm hơn nữa”.
Dự báo về xu hướng tấn công mạng năm 2022 tại Đông Nam Á, các chuyên gia Kaspersky cho rằng đào tiền ảo và tấn công NFT là một trong những xu hướng nổi bật. Bằng cách quan sát những kẻ tấn công chuyên nghiệp với nguồn nhân lực lớn, các nhà nghiên cứu của Kaspersky nhận định rằng chúng ta sẽ đối mặt với một làn sóng tấn công quy mô lớn vào các doanh nghiệp tiền điện tử. NFT (Non-Fungible Token – Tài sản không thể thay thế) cũng sẽ là mục tiêu của tội phạm mạng. Điều này là do các quốc gia ở Đông Nam Á đang dẫn đầu về tỷ lệ sở hữu NFT, trong đó Việt Nam xếp ở vị trí thứ 5 trong 20 quốc gia được khảo sát, với 17,4% cho biết họ sở hữu các tài sản số này. “Từ các cuộc tấn công trực tiếp vào nhân viên các công ty khởi nghiệp và sàn giao dịch tiền điện tử thông qua kỹ thuật xã hội tinh vi, khai thác phần mềm và thậm chí cả các nhà cung cấp giả mạo đến các cuộc tấn công hàng loạt thông qua phần mềm chuỗi cung ứng hay các thành phần của nó, chúng ta sẽ thấy sự gia tăng các loại hình tấn công này. Ngoài ra, nhiều vụ trộm cắp tài sản NFT sẽ xảy ra trong những năm tới”, chuyên gia Kaspersky cho biết thêm. |
