Tránh mất hàng triệu USD, các dự án blockchain Việt cần đầu tư bảo mật thoả đáng
An toàn thông tin - Ngày đăng : 20:44, 04/04/2022
Blockchain không miễn nhiễm với các vụ tấn công
Chia sẻ về vụ tấn công lịch sử này, tại tọa đàm do báo VnExpress tổ chức ngày 4/4, ông Trần Việt Dinh, Giám đốc công nghệ (CTO) của Symper cho biết thực ra không phải mạng lưới Ronin mà là Ronin bridge bị tấn công.
Ronin bridge, theo ông Dinh, là cầu nối để người dùng luân chuyển tài sản mã hóa giữa hai blockchain Ethereum và Ronin Network. Và Ronin bridge dùng luôn các trình xác thực (validator) của Ronin Network để xác thực các giao dịch rút tiền của người dùng trên Ronin bridge. Vấn đề của Ronin bridge là sử dụng 9 trình xác thực và chỉ cần 5 trong số 9 trình xác thực đồng ý là có thể thực hiện được các giao dịch rút tiền.
Ngoài việc dùng ít trình xác thực ra, ông Dinh cho biết nguyên nhân chính là họ bị tấn công hàng loạt server và lấy đi các khóa bí mật (private key). Ít nhất là 5/9 server đã bị tấn công, từ đó có thể rút tiền từ quỹ của Ronin bridge trên mạng Ethereum. Tổng cộng tin tặc (hacker) đã thực hiện hai lệnh rút tiền với hơn 600 triệu USD quy đổi. Vấn đề của Ronin là bị hacker xâm nhập hàng loạt và server xác thực quá ít.
Chúng ta thường không nghe các thông tin về mạng Bitcoin hay Ethereum bị tấn công bởi họ có cộng đồng lớn, như Bitcoin có hơn 14.000 node, mạng lưới các thợ mỏ cũng lên đến hàng trăm nghìn máy tính vì thế mức độ phi tập trung cao hơn rất nhiều. Hơn nữa cộng đồng nhà phát triển tham gia đóng góp mã nguồn cho các mạng blockchain cũng cực kỳ đông và có trình độ cao, vì thế khó bị tấn công hơn, nhưng cũng phải là không thể về mặt lý thuyết.
"Phần lớn các vụ tấn công hiện tại chủ yếu là nhằm vào các tầng ứng dụng trên nền tảng Ethereum hoặc do sơ suất của cá nhân người dùng như mất ví, lừa đảo, bị hack vào máy tính và lấy đi khoá bảo mật, từ đó bị mất tiền", ông Dinh cho hay.
Còn theo ông Nguyễn Minh Đức, Giám đốc CyRadar kiêm cố vấn của SecuriChain, chúng ta cần phải thống nhất một vấn đề, đó là blockchain không miễn nhiễm với các vụ tấn công. Dù hoạt động phi tập trung có thể mang lại cho blockchain khả năng phòng vệ tốt hơn, nhưng nó vẫn có thể có lỗ hổng do đây vẫn là các giao thức, phần mềm do con người phát triển ra. Về mặt nguyên tắc vẫn có thể có lỗ hổng.
Thứ hai, các vụ tấn công trong khoảng một năm qua không phải nhắm vào giao thức blockchain, mà nhắm đến các ứng dụng, như game, ví hoặc sàn giao dịch, cầu nối. Đây là các ứng dụng sử dụng blockchain, nhưng thực chất đó vẫn là những ứng dụng web, mobile và vẫn có lỗ hổng như các phần mềm truyền thống.
"Chúng ta cần làm rõ các vụ tấn công này có liên quan đến công nghệ blockchain, chứ không phải 100% là blockchain".
Ông Đức cũng chia sẻ theo thống kê, trong số 10 vụ tấn công tiền mã hóa lớn nhất, có 6 vụ xảy ra năm 2021, trong khi những vụ tấn công đầu tiên đã xảy ra từ năm 2011. Như vậy, chỉ trong năm 2021 đã chiếm 60%. "Thiệt hại của năm 2021 bằng tổng các năm trước cộng lại, cho thấy xu hướng tấn công mạng nhắm vào các dự án blockchain gia tăng rất nhanh, trở thành mục tiêu rõ ràng của giới tội phạm mạng".
Tuy nhiên, ông Đức những vụ như vậy cũng giúp cho các dự án được cảnh tỉnh, tập trung hơn vào vấn đề bảo mật, để tránh mắc phải các sai lầm của những dự án đã gặp phải.
Ông Đức chia sẻ thêm thực tế có một điểm đặc biệt, riêng trong năm 2022, ngoài vụ của Ronin, trong tháng 2 cũng có một vụ khác nằm top 10 vụ tấn công lớn, đó là việc Wormhole Bridge bị tấn công và thiệt hại 320 triệu USD. Như vậy, hai vụ tấn công lớn trong năm 2022 đều liên quan đến cầu nối. Bridge (cầu nối) có thể hiểu là một ứng dụng cho phép người dùng chuyển tài sản số từ blockchain này sang blockchain khác. Bridge cần một lượng tiền dự trữ lớn để bảo lãnh cho các đồng tiền, từ đó chúng trở thành mục tiêu của giới tội phạm.
Cũng theo ông Đức, nếu như các nhà phát triển chưa đủ tuân thủ nguyên tắc về an toàn thông tin (ATTT), hoặc các khâu từ thiết kế, vận hành mà chưa đảm bảo các quy trình ATTT thì có thể xảy ra sơ suất. Khi phân tích, hầu hết sơ suất đều liên quan đến yếu tố con người như khâu thiết kế, vận hành hay lập trình đều có thể tạo thành các lỗ hổng để kẻ xấu lợi dụng.
Ông Đức lấy ví dụ trong mạng lưới có 9 nút xác thực, đây là một con số khá ít. Về mặt lý thuyết, hacker đã chiếm được quá 50% các máy xác thực này và chiếm được quyền điều khiển hệ thống. Ngoài ra, còn có những hệ thống từng bị lỗ hổng ở những khâu lập trình khá cơ bản.
Vì vậy, ông Đức cho rằng: "Các dự án về blockchain cũng nên nhân cơ hội này để rà soát lại hệ thống của mình, kiểm tra, xác định lại các rủi ro có thể có".
Bởi theo nhận định của ông Đức: "Nhiều dự án blockchain thời gian qua phát triển nhanh và nóng. Đến khi chúng trở nên phổ biến, được đầu tư nhiều tiền hoặc có lợi nhuận, những lỗ hổng từ giai đoạn ban đầu có thể trở thành vấn đề nguy hiểm, có thể dẫn đến sụp đổ hệ thống nếu chúng ta phát triển nhanh nhưng nền móng không vững chắc".
Mức độ đầu tư cho bảo mật của các dự án blockchain Việt Nam chưa nhiều
Lý giải thêm về tấn công các dự án blockchain gần đây, ông Trần Việt Dinh cho biết mức độ đầu tư cho bảo mật của các dự án blockchain tại Việt Nam hiện chưa nhiều. Hậu quả là đã xảy ra khá nhiều các vụ tấn công, trong đó có vụ tấn công Axie Infinity mới đây.
Cuối năm ngoái, một ứng dụng ví tiền điện tử của Việt Nam cũng bị xâm nhập và làm lộ thông tin KYC (xác thực thông tin cá nhân) của 1,5 triệu người dùng. Một game nữa là Wanaka Farmcũng bị hack 1 triệu USD do lỗi thiết kế hệ thống.
Một số dự án GameFi của Việt Nam còn bị khai thác về lỗi sinh số ngẫu nhiên trên hợp đồng thông minh (smart contract). Đa số các dự án chỉ đầu tư 10-20.000 USD cho việc hoàn thiện smart contract, hệ thống server thiếu giám sát và đầu tư cho việc bảo mật chuyên nghiệp.
Theo ông Đức, không chỉ các dự án Việt Nam, các dự án trên thế giới cũng gặp tình trạng đó. Số vụ tấn công gia tăng thời gian qua đã thể hiển việc này. Riêng trong 2021 và 2022 đã có 7 vụ lọt vào top 10 vụ tấn công lớn nhất. Có thể thấy đây là xu hướng đang gia tăng, một phần do chính các dự án chưa quan tâm đến bảo mật.
Vì vậy, ông Đức cho rằng các dự án cần nhìn nhận lại một cách nghiêm túc và đầu tư hơn vào bảo mật. Thực tế khi một dự án hình thành, với một nhóm khoảng 3-5 người hoặc nhiều hơn, mà phải đầu tư cho bảo mật thì cũng rất khó, vì có thể làm chậm đi tốc độ phát triển dự án. Đây là một lý do khách quan.
"Không phải do họ không có nhận thức, mà do các dự án cần tập trung hơn vào việc đưa ra sản phẩm để hoàn thiện thời hạn chót (deadline). Trong khi vấn đề bảo mật thường không đo đếm được, gây tốn kém chi phí mà không mang lại hiệu quả trực tiếp, vì vậy họ thường tạm thời bỏ qua trong giai đoạn đầu. Về sau, nếu hệ thống thành công, họ mới quay trở lại đầu tư vào bảo mật".
Nhưng thực tế, có nhiều dự án thành công nhưng vẫn bị tấn công, do chưa đầu tư một cách bài bản về bảo mật.
Tại SecuriChain trong 3 tháng gần đây, sau các vụ tấn công lớn, chúng tôi cũng đang làm việc với khá nhiều dự án blockchain và nhận thấy họ thực sự quan tâm đến vấn đề bảo mật, muốn nâng cao hệ thống để bảo đảm an toàn. Các dự án blockchain khi đưa lên sàn cũng có yêu cầu khá khắt khe, đó là cần kiểm sát, đánh giá (audit) và có smart contract để chứng minh cho cộng đồng là được đầu tư, được xác thực bởi một bên thứ ba chuyên về bảo mật.
Tuy nhiên, đây cũng chỉ là điều kiện cần thôi, vì thực tế khi các vụ tấn công xảy ra, nguyên nhân có thể không đến từ contract hay blockchain, mà từ các lỗ hổng truyền thống. Vì vậy, các dự án cần đầu tư bài bản hơn về ứng dụng, chứ không chỉ về smart contract.
Những điểm yếu bị hacker khai thác
Nhận định về những điểm yếu bị tin tặc khai thác, ông Đức cho rằng có hai hình thức tấn công: Một là lừa đảo trực tuyến, nhắm đến người dùng, nhà đầu tư, người chơi game; hai là tấn công trực diện vào các ứng dụng ví, sàn, game. Hai mục tiêu tấn công có thể khác nhau.
Với hình thức lừa đảo trực tuyến, ông Đức cho rằng khá giống với lừa đảo trực tuyến của các hệ thống truyền thống hiện nay. Chúng có kịch bản lừa đảo tinh vi, qua chat, email để dụ dỗ nạn nhân bấm và link, từ đó chiếm mật khẩu và tài khoản. Chúng cũng có thể lừa nạn nhân cài mã độc, có khả năng đánh cắp thông tin người dùng. Mỗi người có thể mất không nhiều, nhưng một tập hàng triệu người dùng thì sẽ gây ra thiệt hại lớn.
Hình thức thứ hai là tấn công vào các nền tảng, ông Đức cho biết lợi dụng khai thác các lỗ hổng của phần mềm này. Chúng ta có thể thấy các lỗ hổng phần mềm vẫn luôn tồn tại, có thể tiếp tục được phát hiện trong thời gian tới. Thống kê của chúng tôi trong tháng 12/2021 đã có 8 vụ tấn công, gây thiệt hại 604 triệu USD, trong đó có 4 vụ đến từ lỗ hổng của smart contract.
Tuy nhiên, ông Đức cho rằng con số thiệt hại phần lớn lại từ các lỗ hổng không phải của blockchain, mà do lỗ hổng cơ bản của phần mềm mang tính truyền thống. Như vậy có thể thấy, chỉ tập trung vào audit và smart contract thì vẫn chưa giải quyết được toàn bộ vấn đề.
Tổng kết lại, thống kê về lừa đảo nhắm đến người dùng cá nhân. Còn các vụ tấn công trực diện nhắm đến sàn, các ứng dụng dự án blockchain.
Người dùng cần làm gì?
Để tránh rủi ro khi đầu tư vào các dự án NFT, GameFi, crypto, ông Nguyễn Việt Dinh khuyến nghị đối với người dùng không phải người làm kỹ thuật, khi đầu tư vào các dự án NFT, GameFi hay crypto nói chung cần xem xét đến uy tín của đội ngũ phát triển và mọi thông tin có thể đọc, cũng như tìm đến sự tư vấn, nhận xét của các chuyên gia trong ngành. Nói chung càng nhiều thông tin uy tín càng hạn chế được rủi ro.
Khi tham gia thị trường tiền mã hoá, ông Dinh cho biết người dùng đầu tiên phải giữ được tiền rồi mới tính đến lợi nhuận. Có những người nhờ tôi tư vấn bị mất đến 500.000 USD, đây là con số lớn với người Việt. Ngoài hình thức lừa đảo bằng cách nhấn vào link lạ, cũng có người bị hack vào máy tính cá nhân để đánh cắp khoá bảo mật. Ngoài ra việc lưu khoá bảo mật trong email, đoạn chat với chính mình trong Facebook. Đây là những ví dụ rất điển hình về việc chưa kịp kiếm được lời đã mất tiền.
Cũng có những dự án chủ động lừa đảo chứ không phải hack. Khi giá lên, đội ngũ phát triển rút hết thanh khoản, người dùng không thể rút tiền về nên mọi người nên theo dõi tin tức hàng ngày để bảo vệ mình.
Còn theo chia sẻ của ông Đức, các dự án quan tâm đến bảo mật thường thể hiện điều đó khá rõ trên website hoặc tài liệu của họ, có thể bằng việc hợp tác với các công ty uy tín về bảo mật, có thể là 2 - 3 công ty độc lập về ATTT để kiểm tra, đánh giá hệ thống. Họ cũng có thể có các chứng chỉ, hợp tác dài hơi với các đối tác về ATTT. "Theo tôi, đó là những điều thể hiện bên ngoài mà nhà đầu tư có thể nhìn vào để thấy dự án đó có quan tâm đến bảo mật".
Nếu là dân kỹ thuật, ông Đức cho rằng có thể tìm hiểu sâu hơn, ví dụ trong đội ngũ có ai am hiểu về bảo mật, hoặc đọc các đoạn mã công khai để đánh giá tính chỉn chu khi phát triển phần mềm. Còn nếu đứng từ phía nhà đầu tư, chỉ có thể xem xét thông qua việc hợp tác của họ với các đối tác về ATTT./.