Bạn biết bao nhiêu về bảo mật trên chuỗi: Người bình thường có thể xây dựng tường lửa cho tài sản được mã hóa như thế nào?

Tiêu đề gốc: "EP28: Bạn biết bao nhiêu về bảo mật trên chuỗi: Người bình thường xây dựng tường lửa cho tài sản tiền điện tử"

Nguồn gốc: Mint Ventures

· Người dẫn chương trình: Alex, Đối tác nghiên cứu của Mint Ventures

· Khách mời: Zhou Yajin, Giám đốc điều hành của công ty bảo mật chuỗi khối BlockSec

· Thời gian ghi âm: 2025.3.28

Tuyên bố: Nội dung được thảo luận trong podcast này không đại diện cho quan điểm của các tổ chức nơi khách mời làm việc và các dự án được đề cập không cấu thành bất kỳ lời khuyên đầu tư nào.

Xin chào mọi người, chào mừng đến với WEB3 Mint To Be do Mint Ventures khởi xướng. Tại đây, chúng tôi tiếp tục đặt câu hỏi và suy nghĩ sâu sắc để làm rõ sự thật, khám phá thực tế và tìm kiếm sự đồng thuận trong thế giới WEB3. Làm rõ logic đằng sau các chủ đề nóng, cung cấp thông tin chi tiết về các sự kiện và giới thiệu nhiều góc nhìn khác nhau.

Phạm vi dịch vụ và khách hàng mục tiêu của BlockSec

Alex: Trong tập này, chúng ta sẽ nói về một chủ đề liên quan chặt chẽ đến mọi người, đó là bảo mật của thế giới được mã hóa. Cho đến khi gặp phải rủi ro thực sự, chúng ta thường nghĩ rằng mình sẽ không trở thành nạn nhân của các sự cố an ninh trên bản tin. Cách xây dựng tường lửa cho tài sản của bạn và đầu tư vào một môi trường an toàn là một chủ đề bắt buộc trước khi chúng ta bắt đầu hành trình mã hóa.

Trong podcast này, chúng tôi đã mời Zhou Yajin từ công ty bảo mật blockchain BlockSec đến để trò chuyện với chúng tôi về chủ đề bảo mật tiền điện tử. Xin chào cô Chu nhé.

Zhou Yajin:Xin chào mọi người, tôi tên là Zhou Yajin, hiện là CEO của BlockSec. Tôi cũng là nhà nghiên cứu về an ninh không gian mạng tại Đại học Chiết Giang. Tôi rất vui khi được gặp tất cả mọi người.

Alex: Được rồi, chúng ta hãy đi thẳng vào vấn đề chính ngày hôm nay. Tôi tin rằng nhiều người nghe có thể không quen thuộc lắm với các công ty bảo mật blockchain và dịch vụ bảo mật. Ông Zhou, trước tiên xin hãy giới thiệu BlockSec với chúng tôi. Bạn cung cấp những dịch vụ gì và những đối tượng và tổ chức nào sẽ trở thành khách hàng của bạn?

Zhou Yajin: Được rồi, BlockSec là một công ty bảo mật Web3. Chúng tôi được thành lập vào năm 2021 và được đồng sáng lập bởi Giáo sư Wu và tôi. Khi nói về tính bảo mật của Web3, điều đầu tiên người ta nghĩ đến có lẽ là kiểm tra bảo mật. Trên thực tế, phạm vi kinh doanh của BlockSec không chỉ giới hạn ở việc kiểm tra bảo mật. Chúng tôi cũng cung cấp một loạt các sản phẩm và dịch vụ bảo mật khác. Cụ thể, dịch vụ có thể được chia thành ba phần chính.

Phần đầu tiên chúng tôi gọi là bảo mật cho các giao thức trên chuỗi. Giao thức trên chuỗi là các hợp đồng thông minh được triển khai trên blockchain để thực hiện DeFi, NFT hoặc các hoạt động khác. Làm thế nào để đảm bảo tính bảo mật của những hợp đồng này? BlockSec cung cấp dịch vụ kiểm toán bảo mật và sản phẩm giám sát bảo mật.

Lĩnh vực thứ hai mà chúng tôi quan tâm hơn là sự an toàn của tài sản. Cái gọi là bảo mật tài sản đề cập đến tài sản mà người dùng có trong tay. Ví dụ, các tài sản này nằm trong ví hợp đồng riêng hoặc được đầu tư vào một số giao thức trên chuỗi. Làm thế nào để đảm bảo an ninh cho các tài sản của người dùng cũng là một trong những lĩnh vực dịch vụ BlockSec của chúng tôi.

Phần thứ ba là tuân thủ và giám sát. Chúng tôi nhận thấy ngày càng có nhiều tổ chức tài chính truyền thống tham gia vào ngành công nghiệp tiền điện tử. Gần đây chúng ta thấy tin tức rằng các ngân hàng truyền thống ở Hoa Kỳ đã phát hành một số tài sản stablecoin trên chuỗi, bao gồm cả Crypto đang thâm nhập vào ngành thanh toán xuyên biên giới. Trên thực tế, sau khi các tổ chức tài chính truyền thống này tham gia vào ngành này, họ đã mang đến một vấn đề khó khăn cho công tác giám sát. Các cơ quan quản lý không biết cách giám sát và các tổ chức này không biết cách tuân thủ các quy định. Do đó, chúng tôi cũng đang hỗ trợ các cơ quan quản lý giám sát những người tham gia vào ngành tiền điện tử hoặc hỗ trợ các tổ chức truyền thống tham gia vào ngành tiền điện tử tuân thủ các quy định. Đây là ba lĩnh vực kinh doanh của chúng tôi.

Khách hàng của chúng tôi rất đa dạng. Điều mà mọi người có thể nghĩ đến là các bên tham gia dự án cung cấp tài chính phi tập trung hoặc các dịch vụ khác trên chuỗi, chẳng hạn như cung cấp nền tảng cho vay và nền tảng giao dịch phi tập trung trên chuỗi. Các bên tham gia dự án này là khách hàng của chúng tôi. Chúng tôi có thể giúp họ tiến hành một số cuộc kiểm tra bảo mật trước khi triển khai hợp đồng thông minh trên chuỗi và xem xét liệu các hợp đồng thông minh mà họ phát triển có lỗ hổng bảo mật hay không theo góc độ bảo mật. Nếu có lỗ hổng bảo mật, chúng cần phải được khắc phục kịp thời. Đồng thời, sau khi giao thức của họ được triển khai trên chuỗi, chúng tôi cũng sẽ có một nền tảng giám sát 24/7 để theo dõi các rủi ro bảo mật của giao thức của họ. Nếu xảy ra bất kỳ rủi ro bảo mật nào, nền tảng của chúng tôi có thể nhanh chóng thông báo cho giao thức và tự động chặn các rủi ro và tấn công.

Do đó, các nhà phát triển và bên dự án triển khai hợp đồng thông minh trên chuỗi chính là khách hàng tiêu biểu của chúng tôi. Loại khách hàng điển hình thứ hai là những người sở hữu tài sản, có thể là một số khách hàng có giá trị tài sản ròng cao có một số tài sản trong ví hợp đồng hoặc những khách hàng có giá trị tài sản ròng cao này sẽ đầu tư vào một số thỏa thuận trên chuỗi. Các dịch vụ và sản phẩm của chúng tôi có thể giúp họ giám sát tốt hơn tính bảo mật của các giao thức mà họ đầu tư. Giống như hai mặt của một đồng xu, theo quan điểm của dự án giao thức, chúng tôi có thể giúp họ cải thiện tính bảo mật của giao thức.

Theo quan điểm của những khách hàng có giá trị tài sản ròng cao đầu tư vào các giao thức của họ, chúng tôi có thể giúp họ theo dõi tính bảo mật của các giao thức mà họ đầu tư. Khi giao thức mà họ đầu tư có rủi ro về bảo mật, chẳng hạn như bị tấn công, họ cần có khả năng rút tiền của mình càng sớm càng tốt. Loại khách hàng thứ ba là loại khách hàng giám sát và tuân thủ mà tôi vừa đề cập. Loại khách hàng này chủ yếu là một số cơ quan quản lý. Ví dụ, Ủy ban Chứng khoán và Tương lai Hồng Kông thực sự là khách hàng của chúng tôi. Ngoài ra còn có một số cơ quan thực thi pháp luật ở nước ngoài. Khi họ cần điều tra tội phạm liên quan đến tiền kỹ thuật số, họ cần sử dụng các công cụ và nền tảng của chúng tôi để tạo điều kiện cho một số hoạt động điều tra như trích xuất bằng chứng và truy tìm nguồn tiền. Về cơ bản, đây là hoạt động kinh doanh chung của chúng tôi và phạm vi khách hàng của chúng tôi.

Ba gợi ý về bảo mật mã hóa

Alex: Tôi hiểu rồi. Giáo sư Zhou vừa nói về các loại khách hàng, nhu cầu của họ và tình hình chung của ngành. Câu hỏi thứ hai có thể phù hợp hơn với các nhà đầu tư cá nhân, đặc biệt là vì nhiều người nghe của chúng tôi mới bắt đầu tìm hiểu về Web3 và thử đầu tư.

Nếu bạn có một người bạn mới bước vào lĩnh vực đầu tư tiền điện tử và biết rằng bạn đang tham gia vào dịch vụ bảo mật tiền điện tử, hãy đưa ra cho anh ấy ba gợi ý về bảo mật tiền điện tử. Bạn sẽ đưa ra ba gợi ý nào cho anh ấy?

Chu Á Cẩm: Đây là một câu hỏi rất hay. Bạn bè tôi thường hỏi tôi một số lời khuyên về an toàn. Họ cũng muốn tham gia vào ngành này, nhưng họ nghe nói rằng nhiều người dường như gặp phải một số rủi ro. Chúng tôi từng có một câu nói đùa: Nếu bạn bước vào thế giới tiền điện tử và không bị lừa đảo hoặc gian lận, bạn sẽ không trở thành người chơi lão luyện trong lĩnh vực này. Tất nhiên đây chỉ là một trò đùa, nhưng bạn thực sự có thể thấy rằng có rất nhiều rủi ro trong ngành này.

Nếu tôi đưa ra ba gợi ý, gợi ý đầu tiên chắc chắn sẽ là điều mà mọi người đều nghĩ đến, đó là về bảo vệ khóa riêng tư. Trong lĩnh vực tiền điện tử, làm thế nào để chứng minh rằng bạn sở hữu số tiền đó? Trên thực tế, bạn sử dụng khóa riêng để chứng minh quyền sở hữu tài khoản của mình. Khóa riêng tư chỉ là một chuỗi số, không liên quan gì đến danh tính cá nhân của bạn. Khi chuỗi số này bị mất hoặc bị rò rỉ, người khác có thể kiểm soát tiền của bạn giống như bạn. Điều này rất khác với thế giới thực của chúng ta. Trong thế giới thực, nếu mật khẩu ngân hàng của bạn bị rò rỉ, bạn có thể gọi đến ngân hàng và yêu cầu họ đóng băng tài khoản của bạn để không ai có thể rút tiền của bạn. Nhưng trong thế giới tiền điện tử, nếu khóa riêng của bạn bị rò rỉ, người có khóa riêng của bạn có thể chuyển tiền từ tài khoản của bạn mà không bị hạn chế.

Nói chung, có một số cách để bảo vệ khóa riêng tư. Ví dụ, chúng ta có ví phần cứng, ví hợp đồng hoặc ứng dụng điện thoại di động để bảo vệ khóa riêng tư. Mỗi phương pháp thực sự đều có ưu và nhược điểm riêng. Theo kinh nghiệm của bản thân và kinh nghiệm chung của một số người bạn làm trong lĩnh vực bảo mật xung quanh chúng tôi, nguyên tắc cơ bản là ghi lại mã khóa riêng và cất giữ trong két an toàn. Cho dù két sắt này ở nhà bạn hay trong ngân hàng, hãy giữ gìn cẩn thận và không di chuyển nó. Về cơ bản, bạn không cần phải sử dụng nó. Sau đó, hãy sử dụng một thiết bị mà bạn tương đối tin cậy, có thể là ví phần cứng hoặc điện thoại di động, để lưu trữ khóa riêng của bạn. Chiếc điện thoại di động này phải là thiết bị chuyên dụng. Không sử dụng nó cho bất kỳ hoạt động nào khác. Nó chỉ được sử dụng để quản lý tài sản kỹ thuật số của riêng bạn. Đây là gợi ý đầu tiên.

Gợi ý thứ hai là hãy lưu ý đến vấn đề bảo mật và rủi ro khi giao dịch trên chuỗi. Về cơ bản, tất cả những gì bạn phải nhớ là một điều: không có bữa trưa nào miễn phí. Chúng tôi nhận thấy rằng khi thực hiện giao dịch trên chuỗi, người dùng phải đối mặt với nguy cơ bị lừa đảo rất cao. Nhiều KOL và OG trong giới tiền điện tử mà chúng ta quen thuộc đã gặp phải các cuộc tấn công lừa đảo và mất rất nhiều tiền. Nếu một trang web không xác định yêu cầu bạn kết nối ví để nhận phần thưởng airdrop, bạn cần phải cẩn thận hơn vào thời điểm này và phải chú ý đến vấn đề an toàn.

Gợi ý thứ ba là bạn cần có một số kiến thức cơ bản về tài sản tiền điện tử. Kiến thức cơ bản đề cập đến khái niệm về quyền hạn trong tài sản tiền điện tử. Điều này khác với tài chính truyền thống. Ví dụ, nếu bạn sở hữu một loại tài sản kỹ thuật số, chẳng hạn như USDT hoặc USDC, bạn có thể ủy quyền tài sản đó cho một hợp đồng hoặc người dùng khác thông qua chữ ký trên chuỗi và việc ủy quyền đó có thể đạt được chỉ bằng cách ký một loạt những thứ kỳ lạ mà bạn không hiểu thông qua ví của mình.

Vì vậy, khi ký chữ ký ví, nếu bạn không hiểu hoặc bị lừa và ký giao dịch được ủy quyền, thì người khác có thể sử dụng tất cả tài sản kỹ thuật số của bạn. Do đó, bạn cần có một số hiểu biết cơ bản về quyền hạn để không vô tình ký nhầm các giao dịch như vậy khi ký vào ví của mình. Tóm lại, những gợi ý cơ bản là: đầu tiên là bảo vệ khóa riêng của bạn và đưa ra một số phương pháp thực tế; thứ hai là luôn cẩn thận khi thực hiện các giao dịch trên chuỗi, có ý thức bảo mật và tránh bị lừa đảo; thứ ba là phải hiểu cơ bản về cơ chế ủy quyền của Crypto để không vô tình ký nhầm một số giao dịch đã được ủy quyền.

Alex: Thực ra tôi có khá nhiều bạn bè giàu có xung quanh mình, và họ cũng là những người kỳ cựu hoặc lão luyện trong ngành. Về mặt logic, tất cả họ đều có một số nhận thức về an ninh như bạn đã đề cập, nhưng năm nào tôi cũng nghe nói về một số nhà đầu tư lớn xung quanh tôi bị cướp.

Trong ngành có câu nói rằng nếu một hacker chuyên nghiệp nhắm vào bạn, anh ta biết rằng có tiền trong ví của bạn. Nếu anh ta sử dụng mọi nguồn lực có sẵn, bạn thường khó có thể trốn thoát. Bạn có nghĩ tuyên bố này có hợp lý không? Có thực sự như vậy không?

Chu Á Cẩm: Câu hỏi của bạn rất hay. Trên thực tế, các vấn đề bảo mật, đặc biệt là những vấn đề liên quan đến bảo mật Crypto, về cơ bản là một cuộc đối đầu mất cân bằng. Nếu bạn có đủ tài sản trong ví, bạn sẽ dễ dàng trở thành mục tiêu của các cuộc tấn công có chủ đích. Một khi bạn trở thành mục tiêu tấn công có chủ đích của ai đó, họ sẽ huy động rất nhiều nguồn lực, có thể là nguồn lực kỹ thuật xã hội, nguồn lực kỹ thuật hoặc các nguồn lực khác, để thiết kế các phương pháp tấn công chống lại bạn dựa trên các mô hình hành vi hàng ngày, thói quen sống, v.v. của mục tiêu. Trong tình huống này, tôi không thể nói là chắc chắn 100%, nhưng bạn rất khó tự vệ vì những người khác đã huy động rất nhiều nguồn lực để chống lại bạn và bạn chỉ có một mình. Vì vậy, đây là một cuộc đối đầu rất không cân xứng.

Trong tình huống này, tôi nghĩ nguyên tắc cơ bản trước hết là người Trung Quốc chúng ta có câu nói rằng tài sản không nên bị lộ, nghĩa là bạn không nên công khai tài sản của mình và tránh tiết lộ mối quan hệ giữa danh tính ngoại tuyến cá nhân của bạn và danh tính của tài sản trên chuỗi. Điểm thứ hai là ngay cả khi bạn là người dùng có giá trị tài sản ròng cao, tài sản của bạn vẫn có thể bị người khác rò rỉ, vì vậy bạn cần cô lập tài sản của mình càng nhiều càng tốt. Nghĩa là, số tài sản bạn thường sử dụng trong cuộc sống hàng ngày có thể có tối đa 100.000 nhân dân tệ trong ví chuyên dụng của bạn. Nếu người khác nhắm vào bạn, nhiều nhất họ cũng chỉ có thể lừa bạn mất 100.000 nhân dân tệ. Các tài sản lớn khác của bạn nên được cất giữ trong ví mà bạn hiếm khi cần sử dụng. Nếu bạn cần sử dụng những tài sản này, bạn nên tìm một chuyên gia bảo mật để giúp bạn xem xét lại bộ quy trình vận hành và thông số kỹ thuật tốt hơn, nhằm tránh những rủi ro rất lớn.

Ba sự cố an ninh ấn tượng nhất

Alex: Tôi hiểu rồi. Đề xuất này thực sự rất quan trọng. Bạn có thể chia sẻ với chúng tôi ba sự cố an ninh ấn tượng nhất mà bạn từng trải qua trong sự nghiệp của mình không? Đó có thể là kinh nghiệm của riêng bạn, hoặc có thể là từ bạn bè hoặc một số quan sát của riêng bạn.

Chu Á Cẩm: Tôi có thể chia sẻ với các bạn một số sự cố an ninh mà chúng tôi đã trực tiếp tham gia và để lại ấn tượng sâu sắc cho chúng tôi. Ví dụ đầu tiên tôi nhớ là vào khoảng ngày 10 tháng 2 năm 2023, khi một giao thức trên chuỗi có tên là Giao thức Platypus bị tấn công. Đây là nền tảng cho vay có nhiều chức năng khác. Giao thức này có lỗ hổng bảo mật, qua đó tin tặc đã đánh cắp gần 9 triệu USD tài sản. Lý do khiến sự cố này để lại ấn tượng sâu sắc với tôi là do hacker đã mắc lỗi khi tấn công vào giao thức Platypus. Khi tấn công một hợp đồng thông minh, anh ta cần phải tự mình phát triển một hợp đồng thông minh. Hợp đồng thông minh có thể được hiểu là một chuỗi mã có thể tự hoạt động. Khi một hacker tấn công, anh ta sẽ triển khai hợp đồng tấn công của riêng mình và hợp đồng tấn công này sẽ hoàn tất toàn bộ quá trình tấn công.

Nhưng kẻ tấn công cũng là con người, và chúng ta đều biết rằng con người cũng mắc sai lầm. Anh ta đã mắc lỗi khi viết hợp đồng tấn công thông minh và có một lỗ hổng trong hợp đồng có thể bị khai thác. Lỗ hổng này có thể trích xuất tiền được lưu trữ trong hợp đồng tấn công, đây cũng là tiền thu được khi tấn công giao thức Platypus. Là một công ty bảo mật, chúng tôi luôn theo dõi các sự kiện tấn công trên chuỗi và chúng tôi có một bộ công cụ phát hiện tấn công có thể phát hiện các cuộc tấn công như vậy xảy ra trên chuỗi ngay từ lần đầu tiên.

Thật trùng hợp, khi con thú mỏ vịt bị tấn công, chúng tôi đã phát hiện ra ngay lập tức. Chúng tôi sẽ phân tích độc lập sự cố bảo mật này, chẳng hạn như nguyên nhân của cuộc tấn công là gì và lỗ hổng nằm ở đâu. Đồng thời, chúng tôi sẽ liên hệ với bên dự án để hỗ trợ họ và hướng dẫn họ cách vá lỗi và xử lý sự cố. Trong quá trình này, chúng tôi phát hiện ra lỗ hổng bảo mật của tin tặc và thông báo với bên dự án rằng họ có thể khai thác lỗ hổng này. Sau đó, chúng tôi làm việc với chủ dự án để phát triển mã nhằm trích xuất 2,4 triệu đô la tiền tấn công trong số 9,5 triệu đô la từ hợp đồng của kẻ tấn công. Đây cũng là lần đầu tiên trong toàn bộ lịch sử bảo mật blockchain mà chúng ta gọi là hack back, nghĩa là lợi dụng các lỗ hổng của nó để trích xuất số tiền bị đánh cắp và trả lại cho bên thực hiện dự án. Đây là một cuộc đối đầu đặc biệt thú vị và tôi khá ấn tượng.

Alex: Trước đó anh có mối quan hệ hợp tác với Platypus không, hay hai người chỉ bắt đầu giao tiếp sau sự cố này?

Chu Á Cẩm: Thực ra trước đây chúng tôi không có bất kỳ mối quan hệ hợp tác nào, chúng tôi chỉ liên lạc với nhau sau khi sự việc này xảy ra. Tôi có thể trình bày chi tiết hơn về toàn bộ quy trình xử lý sự cố bảo mật. Chúng tôi có công cụ tấn công bảo mật riêng ở bên trong. Khi xảy ra sự cố bảo mật, hệ thống của chúng tôi sẽ ngay lập tức phát ra báo động và chúng tôi có một đội ứng phó khẩn cấp nội bộ để cùng nhau phân tích sự cố. Đầu tiên, chúng ta sẽ xem xét giao thức nào đang bị tấn công, sau đó chúng ta sẽ cố gắng liên hệ với bên dự án thông qua nhiều phương tiện khác nhau, có thể là Twitter trực tuyến hoặc các phương tiện khác.

Trong trường hợp của Platypus, trước đó chúng tôi không có thông tin liên lạc của họ. Chúng tôi đã liên lạc với nhóm dự án thông qua Twitter và hỗ trợ họ phân tích lý do của toàn bộ cuộc tấn công, vì nhiều khi nhóm dự án không biết tại sao họ bị tấn công. Dù sao thì số tiền trong thỏa thuận đã biến mất, nhưng lý do thì không rõ ràng. Vào thời điểm này, một công ty an ninh là cần thiết để hỗ trợ anh ta trong việc phân tích. Sau khi phân tích, câu hỏi đặt ra là làm thế nào để sửa chữa giao thức.

Nếu nguyên nhân rõ ràng thì lỗ hổng cần phải được khắc phục. Cách dán miếng vá, liệu có an toàn sau khi dán miếng vá hay không và theo dõi số tiền bị đánh cắp cũng cần có sự hỗ trợ của các công ty bảo mật như chúng tôi. Chúng tôi sẽ làm việc với bên dự án trong suốt quá trình ứng phó khẩn cấp. Cụ thể trong trường hợp này, thực ra chúng tôi không hề liên hệ với dự án này trước đó, nhưng may mắn thay, trong quá trình xử lý, chúng tôi đã liên lạc kịp thời và có thể thu hồi được một phần tiền. Trên thực tế, trong nhiều trường hợp, chúng tôi phát hiện ra cuộc tấn công nhưng không thể liên lạc với bên dự án.

Trường hợp thứ hai cũng khá thú vị và xảy ra vào năm 2023. Khán giả Trung Quốc có thể quen thuộc hơn với trường hợp này vì trường hợp này liên quan đến một dự án có tên là ParaSpace. ParaSpace là một NFT có thể được sử dụng để thế chấp Bored Ape và vay các tài sản khác. Tôi biết rằng nhiều OG người Trung Quốc thực sự là người sở hữu NFT Boring Ape. Giao thức này thực ra có lỗ hổng bảo mật và đã bị tấn công vào tháng 3 năm 2023. Tôi nhớ rõ lúc đó vào khoảng sáng hoặc trưa theo giờ Bắc Kinh. Sau khi hệ thống của chúng tôi ngay lập tức đưa ra cảnh báo,

trước tiên chúng tôi đã liên hệ với bên dự án để phân tích nguyên nhân. Tuy nhiên, chúng tôi phát hiện giao dịch tấn công đầu tiên xảy ra trong hệ thống của chúng tôi đã được hoàn nguyên trên chuỗi. Hoàn nguyên có nghĩa là kẻ tấn công không có đủ phí giao dịch khi tấn công, do đó giao dịch tấn công không được tải thành công lên chuỗi. Tuy nhiên, hành vi giao dịch và dấu vết tấn công của anh ta đã bị phát hiện trên chuỗi. Hệ thống của chúng tôi cũng có thể phát hiện những giao dịch ngược, tức là những giao dịch không thành công nhưng vẫn được đưa vào chuỗi. Đây là khả năng của công cụ của chúng tôi để xác định đây có phải là giao dịch tấn công hay không.

Sau khi đưa ra phán đoán, chúng tôi nghĩ ra cách mô phỏng hành vi của giao dịch tấn công và tự động tạo ra một giao dịch tấn công giống hệt như vậy, nhưng giao dịch tấn công này phải được đặt trong dấu ngoặc kép và chúng tôi phải thay thế địa chỉ lợi nhuận trong giao dịch bằng địa chỉ của mình. Bằng cách này, chúng ta có thể giải cứu số tiền trong thỏa thuận hiện đang gặp nguy hiểm và chuyển vào tài khoản an toàn của mình, sau đó liên hệ với bên dự án để trả lại tiền cho họ. Câu này cũng giống như nói rằng con dao của kẻ xấu sắp chặt xuống, nhưng vì lý do nào đó mà nỗ lực đầu tiên lại thất bại. Chúng ta cũng có thể thử sử dụng phương pháp tương tự để rút tiền trước, do đó khi kẻ tấn công thực hiện tấn công lần thứ hai, sẽ không còn tiền trong giao thức và cuộc tấn công sẽ thất bại.

Sau khi có ý tưởng này, chúng tôi thực sự đã có một hệ thống nội bộ có thể tự động hóa quy trình này một cách nhanh chóng. Sau đó, chúng tôi tự động tạo giao dịch “tấn công”, đăng lên chuỗi và rút 5 triệu đô la tài sản khỏi giao thức ParaSpace. Sau đó, chúng tôi đã liên hệ với bên dự án để trả lại tiền cho họ. Điều này thực sự rất thú vị. Đây là số tiền lớn nhất trong lịch sử. Chúng tôi gọi đó là giải cứu, là hoạt động nhằm tiết kiệm tiền trên chuỗi. Nếu không có sự giải cứu này, tài sản của họ có thể đã bị cướp sạch.

Tuy nhiên, sự cố an ninh này thực sự khiến chúng ta phải suy nghĩ rất nhiều, vì có rất nhiều vấn đề về đạo đức và luân lý an ninh liên quan. Ví dụ, sau khi chúng ta quan sát thấy một cuộc tấn công, mặc dù chúng ta rút tiền trong giao thức, nhưng về cơ bản đây vẫn là một giao dịch tấn công. Nó mô phỏng hành vi của kẻ tấn công. Mặc dù số tiền được rút ra và trả lại cho bên thực hiện dự án với mục đích tốt nhưng xét một cách nghiêm túc thì đây vẫn là một cuộc tấn công. Điều này liên quan đến các vấn đề về tuân thủ và đạo đức an toàn.

Điều chúng tôi nghĩ lúc đó là, khi bạn thấy một kẻ xấu đâm một người tốt bằng dao, bạn nên cố ngăn cản hay cứ để yên. Tôi nghĩ rằng lựa chọn của chúng ta là hành động để ngăn chặn điều đó, mặc dù có một số vấn đề về đạo đức và an toàn liên quan. Sau sự cố này, chúng tôi cũng nhận ra sâu sắc rằng tính bảo mật của chuỗi không thể được cứu vãn bằng cách hack lại như chúng tôi vừa nói. Chủ dự án cần được thông báo về những rủi ro an ninh mà họ phải đối mặt ngay khi có thể. Anh ta cần biết rằng dự án đã bị tấn công và sau đó có thể thiết lập một số chiến lược hoạt động tự động.

Khi những sự cố bảo mật này xảy ra, hệ thống của chúng tôi sẽ thông báo cho anh ấy rằng anh ấy có thể tự động tạm dừng giao thức để cuộc tấn công không thành công. Nó không chỉ ngăn chặn các cuộc tấn công và tiết kiệm tiền cho người dùng mà còn tránh mọi rủi ro về mặt đạo đức bảo mật. Đây chính là toàn bộ ý tưởng đằng sau sự phát triển của sản phẩm giám sát và chặn tấn công Phalcon sau hai sự cố này. Đây là sự cố an ninh lớn thứ hai mà tôi nhớ.

Alex: Có vẻ như tôi đã nhận thấy sự cố bảo mật này vào thời điểm đó. Bạn vừa nhắc đến các cuộc tấn công bảo vệ. Tôi muốn hỏi một chi tiết. Sau khi cuộc tấn công đảo ngược mà bạn vừa đề cập xảy ra, bạn phải thảo luận và quyết định nội bộ để xem có nên triển khai cuộc tấn công bảo vệ hay không. Phải mất bao lâu kể từ khi phát hiện ra sự cố cho đến khi đưa ra quyết định bảo vệ tiền?

Chu Á Cẩm: Rất nhanh. Chúng tôi chỉ mất vài phút từ lúc biết đến nó cho đến khi hoàn thành nó. Vì công ty đã hình thành quy trình xử lý bảo mật rất hoàn chỉnh nên sẽ thảo luận và đưa ra quyết định ngay sau khi tìm hiểu về các vấn đề bảo mật. Sau khi quyết định được đưa ra, mọi việc có thể được thực hiện nhanh chóng vì có một số công cụ tự động.

Alex: Tôi hiểu rồi.

Chu Á Cẩm: Trường hợp thứ ba là sự cố bảo mật của Bybit mà mọi người đáng lẽ phải chú ý gần đây. Vào tháng 2, 1,5 tỷ đô la Mỹ tài sản đã bị đánh cắp. Cuộc tấn công này cũng là sự cố bảo mật gây tốn kém nhất trong ngành an ninh cho đến nay và tổn thất của nó rất khác so với hai sự cố bảo mật mà tôi đã đề cập trước đó. Hai sự cố bảo mật trước đó là do lỗ hổng hợp đồng, nhưng sự cố bảo mật của Bybit thực sự không liên quan gì đến lỗ hổng hợp đồng thông minh. Chúng tôi gọi đó là chuỗi tin cậy dài. Trong một hệ thống có số tiền lớn và chuỗi tin cậy dài như vậy, kẻ tấn công sẽ tìm ra mắt xích yếu nhất thông qua các cuộc tấn công kỹ thuật xã hội và sau đó hoàn tất cuộc tấn công. Cụ thể, Bybit sử dụng ví hợp đồng có tên là SAFE, đây là ví hợp đồng thông minh để quản lý nó.

SAFE là ví đa chữ ký. Bạn có thể nghĩ nó giống như một ổ khóa cần ba người mở cùng lúc. Chỉ khi đó, ổ khóa mới có thể mở được và lấy tiền bên trong ra. Khóa này được tạo ra bởi một dự án cung cấp ví hợp đồng như vậy. Bạn sẽ thấy rằng chuỗi tin cậy trong hệ thống này rất dài, bao gồm các nhà phát triển ví SAFE, những người vận hành giao thức SAFE và giao diện người dùng trong trình duyệt khi sử dụng ví SAFE. Ngoài ra còn có người điều hành ví SAFE, tức là nhân viên Bybit có ba chìa khóa hoặc là người có thẩm quyền quản lý tiền. Anh ấy phải vận hành ví SAFE thông qua trình duyệt máy tính hoặc ví phần cứng của mình. Bạn sẽ thấy có nhiều khía cạnh liên quan ở đây.

Khi nói đến bảo mật, khó khăn trong tấn công và phòng thủ bảo mật là khi phòng thủ, bạn phải đảm bảo hệ thống của mình không có bất kỳ khiếm khuyết nào, vì mức độ bảo mật của hệ thống phụ thuộc vào bo mạch ngắn nhất trong hệ thống. Kẻ tấn công không cần phải đột nhập vào những phần được bảo mật tốt trong hệ thống của bạn. Anh ta chỉ cần tìm ra điểm yếu nhất trong hệ thống của bạn và sau đó tấn công vào điểm đó để hoàn tất toàn bộ quá trình. Trong trường hợp Bybit, toàn bộ quá trình tấn công diễn ra như sau. Trước hết, họ có thể thấy rằng đây là một cuộc tấn công có chủ đích, vì họ phát hiện ra rằng ví Bybit SAFE, ví của hợp đồng thông minh, chứa rất nhiều tài sản. Mục tiêu mà họ chọn là nhà phát triển ví SAFE, vì như chúng tôi vừa nói, cuối cùng bất kể ai vận hành nó, họ đều phải thông qua giao diện người dùng do SAFE cung cấp, tức là trang web của họ, để vận hành tài sản của bạn.

Sẽ thế nào nếu tôi có thể đột nhập vào máy tính của nhà phát triển thông qua kỹ thuật xã hội hoặc các phương tiện khác và để nhà phát triển triển khai mã độc trên trang web SAFE, sau đó khi bất kỳ ai truy cập vào trang web SAFE để vận hành ví của mình, hành vi vận hành mà họ thấy lại không nhất quán với hành vi vận hành thực tế trên chuỗi, nhưng người dùng bình thường sẽ không hiểu. Ví dụ, khi một người dùng bình thường thao tác trên APP của ngân hàng, anh ta thấy giao dịch chuyển 100 nhân dân tệ trong APP của ngân hàng, nhưng thực tế là chuyển ra 900 nhân dân tệ, nhưng tôi không biết vì những gì tôi thấy trong APP này là giao dịch chuyển 100 nhân dân tệ. Nếu bạn hack vào nhà phát triển APP hoặc nhà phát triển ví SAFE và khiến giao diện vận hành mà người điều hành nhìn thấy trong ví không nhất quán với các quy tắc hành vi thực tế, bạn có thể hoàn tất toàn bộ quá trình tấn công. Trên thực tế, người ta cũng thực hiện theo cách này.

Vậy thì làm sao nó có thể có được quyền phát triển này? Toàn bộ quá trình tấn công được hoàn thành thông qua một số cuộc tấn công kỹ thuật xã hội. Vâng, ngay cả khi các nhà phát triển SAFE bị vi phạm, chúng ta vẫn còn những cơ hội khác. Ví dụ, nếu ví của bạn có thể cho bạn biết giao dịch đã ký là gì khi nó được ký và giao dịch đó không nhất quán với giao dịch bạn thấy trên trang web thì thực tế vẫn có khả năng xảy ra. Trước đây, nhiều ngân hàng đã có U-Shield. Nếu bạn có kinh nghiệm, bạn sẽ thấy rằng khi bạn nhấn nút trên U-Shield, sẽ có một màn hình hiển thị thông báo cho bạn biết rằng 500 nhân dân tệ đang được chuyển đi. Cho dù bạn có muốn xác nhận hay không, bạn đều có thể xác nhận trên thiết bị U-Shield. Trên thực tế, nó giải quyết được vấn đề này, vì ngay cả khi APP của tôi bị tấn công, APP vẫn báo rằng bạn đã chuyển 100 nhân dân tệ, nhưng khi bạn xác nhận ở bước cuối, U shield lại báo rằng bạn đã chuyển 500 nhân dân tệ và bạn sẽ thấy sự bất nhất.

Cụ thể trong trường hợp của Bybit, nếu ví chữ ký của bạn có khả năng nhắc nhở tốt hơn, nó thực sự có thể ngăn chặn các cuộc tấn công như vậy. Nhưng thật không may, trong trường hợp này, ví phần cứng có chức năng ký không hoạt động tốt. Sau khi giao diện người dùng của SAFE bị tấn công, một giao dịch nâng cấp độc hại đã được ký kết, sau đó kẻ tấn công đã chiếm quyền kiểm soát ví và chuyển đi 1,5 tỷ đô la. Vì vậy, đây là điều để lại ấn tượng sâu sắc cho tôi.

Một điều mà sự cố này mang lại cho chúng ta là việc xác thực chéo là cần thiết khi liên quan đến số tiền lớn. Bạn không thể tin vào những gì một nhà cung cấp hoặc một điểm duy nhất nói với bạn. Nếu bạn chỉ dựa vào một nhà cung cấp hoặc một giao diện duy nhất cung cấp thông tin cho bạn, ngay khi thông tin đó bị xâm phạm, liên kết hệ thống sẽ không còn nữa. Do đó, việc xác thực chéo là cần thiết. Phải có bên thứ ba giúp bạn xác minh xem những gì bạn thấy có đúng sự thật hay không theo quan điểm của bên thứ ba. Trong những trường hợp như vậy, rủi ro có thể được giảm thiểu hơn nữa.

Kinh nghiệm cá nhân về tấn công kỹ thuật xã hội

Alex: Trong trường hợp bạn vừa đề cập, có một thuật ngữ gọi là "tấn công kỹ thuật xã hội". Không phải người nghe nào cũng hiểu được ý nghĩa của khái niệm này. Bạn có thể giải thích được không?

Chu Á Cẩm: Tên đầy đủ của tấn công xã hội là tấn công kỹ thuật xã hội. Nó không sử dụng một số phương tiện kỹ thuật nào, mà là thói quen làm việc, mối quan hệ giữa các cá nhân, trách nhiệm công việc, v.v. của bạn để thiết kế một loạt các phương pháp tấn công chống lại bạn. Tôi có thể đưa ra một ví dụ về vụ tấn công của nhân viên xã hội mà tôi đã trực tiếp trải qua để mọi người dễ hiểu hơn. Với tư cách là CEO của BlockSeo, tôi thường nhận được thông tin, chủ yếu chia thành hai loại. Thể loại đầu tiên là lời mời tham gia podcast, hội nghị và phỏng vấn. Loại thứ hai là một số tổ chức đầu tư, họ sẽ liên hệ với bạn và giới thiệu cho bạn một số cơ hội đầu tư. Tôi đã từng gặp một người gửi email qua tài khoản email của công ty nói rằng anh ta đến từ một tổ chức đầu tư và hy vọng có thể thảo luận về một số cơ hội đầu tư.

Chúng tôi có cảm giác an toàn cao và sẽ theo dõi email và tên miền của anh ấy. Đôi khi chúng tôi sẽ kiểm tra lý lịch và xem trang web công ty cũng như hồ sơ đầu tư của anh ấy. Sau khi kiểm tra lý lịch, tôi thấy đây là một tổ chức rất đáng kính trọng, mặc dù trước đây tôi chưa từng nghe đến, vì vậy tôi đã đặt lịch hẹn với tổ chức này trên Calendar. Nhưng vào lúc này bạn sẽ thấy hiện tượng kỳ lạ đầu tiên đã xảy ra. Khi bạn lên lịch họp trên Lịch, ứng dụng sẽ không cung cấp cho bạn bất kỳ liên kết cuộc họp nào.

Chúng tôi thường lên lịch họp thông qua zoom, google meet hoặc phần mềm hội nghị khác. Nhưng anh ấy không cung cấp bất kỳ liên kết cuộc họp nào, chỉ cung cấp một cuộc hẹn. Khi đến giờ họp, bạn gửi email cho anh ấy và nói rằng chúng ta đã có cuộc họp, vui lòng gửi cho tôi liên kết cuộc họp của bạn. Anh ấy sẽ ngay lập tức gửi cho bạn liên kết cuộc họp. Sau khi bạn nhấp vào liên kết, bạn sẽ thấy điều kỳ lạ: anh ta yêu cầu bạn tải xuống một phần mềm.

Nếu bạn còn thiếu kinh nghiệm vào thời điểm này và cảm thấy lo lắng về cuộc họp sắp tới, anh ta sẽ lợi dụng sự lo lắng của bạn và tiếp tục thúc giục bạn qua email và gửi cho bạn hàng loạt email. Bạn háo hức tận dụng cơ hội này và có thể cài đặt phần mềm mà không do dự, nhưng thực chất đây là một cuộc hội nghị truyền hình có chứa các thành phần độc hại sẽ đánh cắp khóa riêng tư được lưu trữ trong máy tính của bạn. Đây thực sự là một cuộc tấn công kỹ thuật xã hội mà tôi đã trải qua. Vì vậy, bạn có thể thấy rằng kẻ tấn công nhắm vào vị trí của tôi trong công ty và trách nhiệm công việc của tôi, lợi dụng sự lo lắng của tôi trước các cuộc họp.

Alex: Tôi đã chứng kiến một sự kiện thu hút rất nhiều sự chú ý trong ngành cách đây vài ngày. Người sáng lập ra một giao thức nào đó cho biết, khi anh đang tham gia một bữa tiệc ngoại tuyến, điện thoại di động của anh đã rời xa anh khoảng mười phút và khoảng vài triệu nhân dân tệ tiền đã bị đánh cắp khỏi ví điện thoại di động của anh. Giả sử cuộc tấn công này xảy ra khi anh ta không có điện thoại, thì đây có phải là một loại tấn công kỹ thuật xã hội không?

Chu Á Cẩm:Đúng vậy, tôi nghĩ đây là một dạng tấn công kỹ thuật xã hội, nhưng không hẳn là một cuộc tấn công kỹ thuật xã hội theo nghĩa thông thường. Bởi vì trong trường hợp này, điện thoại của anh ấy chỉ ở xa anh ấy trong một khoảng thời gian. Tất nhiên, mục đích chính của người khác mời hoặc tiếp cận anh ta có thể là để lấy điện thoại, nhưng sau khi có được điện thoại, cách mở khóa điện thoại và lấy tiền bên trong thực sự đòi hỏi sự hỗ trợ kỹ thuật rất mạnh mẽ.

Nguyên tắc bảo mật khi tương tác với các giao thức blockchain

Alex: Tôi hiểu. Chúng ta vừa nói về rất nhiều sự cố an ninh lớn mang tính tiêu biểu. Bây giờ chúng ta hãy quay lại thời điểm những người bình thường như chúng ta tương tác với các giao thức blockchain. Như bạn đã nói, nhiều dự án bạn từng tham gia trước đây đều là giao thức Defi và nhiều người trong chúng tôi cũng sử dụng giao thức Defi khi tương tác trên chuỗi.

Khi chúng ta tương tác với các giao thức Defi này hoặc các giao thức khác, có bất kỳ nguyên tắc bảo mật nào mà chúng ta cần tuân theo không? Tôi tin rằng hầu hết người dùng thông thường không có khả năng đọc mã và thậm chí có thể không đọc được thông tin đã ký. Trong trường hợp này, chúng ta có thể giảm thiểu rủi ro như thế nào?

Chu Á Kim: Tôi nghĩ nếu người dùng bình thường muốn thực hiện giao dịch trên chuỗi, trước tiên họ phải kiểm tra lý lịch của bên tham gia dự án. Tôi nghĩ điều này khá quan trọng. Nếu bạn đầu tư vào một dự án chuỗi với số vốn nhỏ và muốn thử sức thì có thể cân nhắc. Nhưng nếu bạn thực sự nghiêm túc và nói rằng bạn là nhà đầu tư muốn đầu tư vào một giao thức trên chuỗi, thì vì khối lượng vốn của bạn tương đối lớn, bạn có thể cần tiến hành thẩm định kỹ hơn đối với bên dự án. Sự thẩm định ở đây về cơ bản có thể được chia thành các cấp độ sau.

Mức độ đầu tiên là phải nêu rõ người sáng lập dự án này là ai và liệu người đó có ẩn danh hay không, vì một số giao thức trên chuỗi là các dự án giao thức ẩn danh. Bạn cần biết chất lượng của giao thức, bạn cần biết người sáng lập được công chúng biết đến là ai và liệu người đó có lịch sử cải tiến dự án hay không. Điều này rất quan trọng. Có nghĩa là, trước tiên bạn phải kiểm tra một số thông tin cơ bản về bản thỏa thuận và danh tính của người sáng lập.

Điểm thứ hai là bạn cần phải kiểm tra một số thông tin cơ bản về năng lực kỹ thuật của bên thực hiện dự án. Bạn có thể kiểm tra xem dự án đã được kiểm toán bởi một công ty an ninh hàng đầu hay chưa. Như bạn vừa nói, nhiều người dùng có thể không hiểu công nghệ, mã và không hiểu được báo cáo kiểm toán, nhưng bạn có thể kéo báo cáo kiểm toán xuống và chỉ cần xem xét một số điểm chính. Ví dụ, công ty nào đã thực hiện kiểm toán, danh tiếng của họ như thế nào và có lỗ hổng bảo mật cốt lõi nào trong báo cáo không? Việc phát hiện ra lỗ hổng bảo mật cốt lõi trong báo cáo không nhất thiết có nghĩa là giao thức này không an toàn. Thay vào đó, điều này có nghĩa là công ty bảo mật có thể siêng năng hơn và tìm thấy một số lỗ hổng bảo mật, điều này sẽ làm giảm rủi ro bảo mật chung của dự án. Chúng ta phải xem xét vấn đề này một cách biện chứng. Sau khi bạn đã kiểm tra lý lịch của nhóm dự án, về cơ bản bạn nên áp dụng cách tiếp cận dần dần khi tương tác với họ. Đừng đầu tư một số tiền lớn cùng một lúc vì điều này vẫn tiềm ẩn rủi ro tương đối cao.

Một điều nữa là bạn cần sử dụng một số công cụ bảo mật chuyên nghiệp, chẳng hạn như một số công cụ giám sát tấn công, một số công cụ và nền tảng. Nếu bạn có số vốn lớn, bạn phải luôn nhận thức được rủi ro bảo mật của các giao thức mà bạn đầu tư. Bạn có thể theo dõi mức độ bảo mật chung của các giao thức mà bạn đầu tư thông qua một số nền tảng, chẳng hạn như nền tảng Phalcon của chúng tôi. Đối với những người dùng có số vốn nhỏ hơn, tôi nghĩ rủi ro chính cần đề phòng khi thực hiện giao dịch trên chuỗi là lừa đảo. Xét cho cùng, khả năng giao thức bị tấn công là tương đối thấp, nhưng những rủi ro như lừa đảo trên chuỗi và xác thực thực sự có thể xảy ra bất kỳ lúc nào khi người dùng thông thường đang ở trên chuỗi.

Để phòng ngừa những rủi ro này, bạn không nên quá tham lam, vì không có bánh từ trên trời rơi xuống. Khi tương tác, hãy cố gắng xác nhận rằng đây là trang web chính thức chứ không phải trang web sao chép. Về cách xác nhận đó có phải là trang web chính thức hay không, vẫn có thể yêu cầu một số khả năng thu thập và tổ chức thông tin nhất định. Tất nhiên, bạn cũng có thể sử dụng một số công cụ bảo mật để xác định các trang web lừa đảo. Bằng cách này, một số rủi ro có thể được tránh được.

Alex: Tôi nhận thấy một sự cố. Vài ngày trước, Binance đã xóa token của nhiều dự án, với lý do các hoạt động mà họ cung cấp không đáp ứng được tiêu chuẩn nên Binance đã xóa chúng. Sau đó, bên dự án cho biết do nhiều vấn đề nên dự án sẽ không được triển khai trong tương lai và sẽ ở trạng thái bán bỏ hoang.

Giả sử rằng người dùng này có thể đã sử dụng giao thức DeFi một hoặc hai năm trước. Hiện tại, không có ai phụ trách giao thức này và không ai biết ai có thẩm quyền nâng cấp mã. Trong một trường hợp cụ thể như thế này, vì quyền nâng cấp của họ không được quản lý đúng cách nên chúng có thể bị tin tặc hoặc những người có động cơ thầm kín lấy được. Nếu lệnh ủy quyền trước đó của bạn không bị hủy, số tiền trong ví của bạn sẽ bị đe dọa bởi những tác động tiếp theo này.

Chu Á Cẩm: Vâng, điều này cũng có thể. Đặc biệt như bạn vừa nói, nếu người dùng ủy quyền tiền của mình cho một số giao thức và các giao thức cùng hợp đồng thông minh này có thể không còn được duy trì nữa, thì nếu việc ủy quyền không bị hủy bỏ, thực sự có thể xảy ra rủi ro bảo mật. Giải pháp cho vấn đề này là chúng tôi luôn khuyến nghị người dùng thông thường nên thường xuyên xem lại quyền hạn của mình. Bạn có thể thu hồi các quyền mà bạn không sử dụng.

Nhiều người dùng có thể không biết họ đã ủy quyền cho những dự án nào. Chúng tôi đã phát triển một công cụ có tên là Công cụ chẩn đoán ủy quyền. Bạn nhập một địa chỉ và chúng tôi có thể cho bạn biết địa chỉ này đã được cấp quyền cho những giao thức nào. Chúng tôi phát hiện ra rằng nhiều người dùng thực sự đã ủy quyền cho hàng chục giao thức, trong đó nhiều giao thức hiện không hoạt động. Các giao thức không hoạt động này và những giao thức chưa được nâng cấp bảo mật có thể có lỗ hổng bảo mật. Chỉ cần có lỗ hổng bảo mật, người khác có thể chuyển tiền của bạn qua lỗ hổng trong giao thức mà bạn đã ủy quyền, đây thực sự là một rủi ro rất lớn.

Alex: Tôi hiểu rồi. Tôi có một câu hỏi khác về tính an toàn của tương tác. Cho dù đó là một số giao thức DeFi đã bị tấn công trong quá khứ hay các giao thức khác, chúng tôi thấy rằng số vụ trộm cắp và tấn công vào DEX tương đối không nhiều bằng cho vay hoặc staking. Điều này có liên quan gì đến loại hợp đồng thông minh của hai loại giao thức này không? Hay còn lý do nào khác?

Chu Á Cẩm: Bạn hoàn toàn đúng. Nói một cách tương đối, rủi ro bảo mật của DEX thấp hơn so với các hình thức cho vay, canh tác lợi nhuận và một số giao thức phái sinh tài chính khác. Trước hết, giao thức chung của DEX tương đối đơn giản và giao thức trong DEX trên chuỗi là một tích hằng số như xy=k. Tất nhiên, Uniswap V3 có đôi chút khác biệt, nhưng cốt lõi cơ bản của nó chính là công thức tích hằng số. Trước hết, giao thức của nó rất đơn giản và thứ hai, nó đã có một ví dụ tham khảo rất tốt, đó là Uniswap. Nhiều DEX được phân nhánh từ Uniswap, do đó bạn chỉ cần thực hiện một số sửa đổi đơn giản để triển khai DEX trên chuỗi. Vị trí rủi ro an ninh tổng thể sẽ thấp hơn.

Tuy nhiên, đối với hoạt động cho vay, canh tác lợi nhuận hoặc các hình thức cho vay có đòn bẩy khác, cũng như một số giao thức có chức năng phức tạp hơn, thì thiết kế của chính giao thức lại tương đối phức tạp. Ví dụ, nếu chúng ta xây dựng một nền tảng cho vay, về nguyên tắc thì có vẻ như tôi đưa tài sản A vào và cho vay tài sản B. Miễn là tôi kiểm soát được tình hình tài sản của toàn bộ nền tảng đó thì mọi thứ sẽ ổn. Nhưng ví dụ, loại tài sản mà bạn muốn hỗ trợ làm tài sản thế chấp, biến động giá của tài sản và nếu bạn muốn hỗ trợ đòn bẩy, làm sao bạn có thể luôn đảm bảo tình hình chung được duy trì ngay cả khi người dùng trả tiền cho bạn? Bản thân giao thức có độ phức tạp tương đối cao nên khả năng các giao thức này bị tấn công cũng cao hơn. Tôi nghĩ đây là lý do đầu tiên.

Lý do thứ hai là bản thân DEX không lưu trữ tiền. Tất nhiên, tiền trong DEX được cung cấp bởi các nhà cung cấp thanh khoản, nghĩa là số tiền bạn cung cấp thanh khoản sẽ được đặt vào đó. Nếu bạn thực sự sử dụng DEX, bạn chỉ cần hoán đổi, đưa token A vào và token B sẽ trả lại ngay lập tức, do đó tài sản của bạn không nằm trong DEX Pool. Ngay cả khi Pool của DEX bị tấn công, hầu hết người dùng sẽ không mất tiền, nhưng những người cung cấp thanh khoản sẽ bị lỗ. Nhưng nền tảng cho vay và các nền tảng khác lại khác nhau. Tài sản của bạn thực sự được đặt ở đó và bạn có tài sản thế chấp vượt mức. Nếu bạn có một số giao thức phức tạp hơn, sẽ có rất nhiều tài sản của người dùng được lưu giữ trong đó. Sau khi bị tấn công, nhóm người dùng bị thiệt hại sẽ tương đối lớn. Tôi nghĩ đây là lý do thứ hai.

Sau đó chúng tôi cũng phát hiện ra rằng DEX đã từng bị tấn công trong quá khứ. Lý do tại sao nó bị tấn công khá đơn giản. Trước hết, rủi ro của DEX thực chất nằm ở khâu cấp phép. Khi bạn muốn hoán đổi, bạn cần phải ủy quyền token của mình cho hợp đồng định tuyến của DEX. Mặc dù hợp đồng định tuyến không lưu trữ tiền, nhưng nếu có một số lỗ hổng thực thi tùy ý trong hợp đồng định tuyến, thì có khả năng tiền của tất cả người dùng đã ủy quyền DEX sẽ bị lấy mất. Chúng tôi nhận thấy rằng các lỗ hổng DEX gây ra tổn thất lớn nhất chủ yếu thuộc loại này, nhưng loại này tương đối dễ phát hiện. Chỉ cần kiểm toán viên có trình độ tương đối thì thực tế rất dễ phát hiện.

Alex: Vậy trong trường hợp lỗ hổng ủy quyền mà bạn vừa đề cập, nếu một công ty kiểm toán phát hiện DEX có các quyền thực thi tùy ý như vậy, họ thường sẽ thông báo với công ty đó rằng điều này là không hợp lý hoặc nhắc nhở mọi người về điều này khi công bố báo cáo?

Chu Á Cẩm: Đúng vậy, đây nhất định là một kẽ hở và vô lý. Nếu một công ty bảo mật kiểm tra lỗ hổng này, họ sẽ phải khắc phục vì đây là lỗ hổng rất nghiêm trọng.

Tình hình hiện tại và tiềm năng của ngành bảo mật blockchain

Alex: Được rồi, chúng ta vừa nói nhiều về tấn công và phòng thủ bảo mật, cũng như một số vấn đề cụ thể về cách bảo vệ an ninh cho tài sản cá nhân. Chúng ta hãy nói về câu hỏi cuối cùng trong ngày hôm nay, đó là về tình hình của ngành bảo mật blockchain.

Như bạn đã nói, vào năm 21 và 22, do số lượng DeFi lớn nên ngành bảo mật blockchain có lượng khách hàng lớn. Vậy, tính đến năm nay, quy mô hiện tại của ngành an ninh là bao nhiêu? Tình hình phát triển và mức lợi nhuận của nó thế nào?

Zhou Yajin: Đây là một câu hỏi rất hay, vì chúng ta đang hoạt động trong ngành bảo mật blockchain, bạn phải luôn biết giai đoạn hiện tại của ngành và đâu là giới hạn để phát triển công ty tốt hơn. Hiện tại, thực tế không có dữ liệu nào được công nhận về vốn hóa thị trường của toàn bộ ngành công nghiệp bảo mật blockchain. Tuy nhiên, có một số báo cáo trực tuyến hoặc dựa trên ước tính của riêng họ, họ cho rằng quy mô chung của ngành bảo mật blockchain là khoảng 3 tỷ đô la Mỹ mỗi năm. Quy mô này thực sự tương đối nhỏ so với ngành an ninh mạng truyền thống. Ví dụ, vào năm 2024, quy mô an ninh mạng truyền thống sẽ đạt khoảng 100 tỷ đô la Mỹ. Trên thực tế có một khoảng cách lớn giữa 1.000 đô la Mỹ và 3 tỷ đô la Mỹ.

Tôi nghĩ điều này liên quan đến tình trạng phát triển hiện tại của toàn bộ ngành, vì bảo mật blockchain về cơ bản là một sản phẩm và dịch vụ an toàn phục vụ cho ngành công nghiệp blockchain. Ngành công nghiệp blockchain nói chung thực ra vẫn đang ở giai đoạn đầu. Ví dụ, giai đoạn phát triển tương đối tốt trước đây là trong Mùa hè Defi, khi một số cải tiến mới xuất hiện.

Trong một hoặc hai năm trở lại đây, sau cơn sốt đổi mới tài chính trong Mùa hè Defi, dường như không có thứ gì đặc biệt tốt và sáng tạo hơn xuất hiện, dẫn đến quy mô của toàn bộ ngành công nghiệp blockchain thực sự đạt TVL cao nhất vào năm 2022. Tôi nhớ rằng mức TVL cao nhất của toàn bộ bảo mật blockchain tại thời điểm đó phải là 177 tỷ, tức là hơn 100 tỷ đô la Mỹ. Nhưng hôm nay, trước khi tham gia chương trình này, tôi đã xem xét dữ liệu. TVL hiện tại là 99 tỷ, nghĩa là chỉ hơn một nửa so với mức đỉnh điểm. Kết quả là, sự phát triển của ngành công nghiệp blockchain của chúng ta dường như đã gặp phải một trở ngại.

Nhưng đồng thời, chúng tôi cũng phát hiện ra tiềm năng mới trong ngành này, đó là các tổ chức tài chính truyền thống đang dần tham gia vào ngành này. Có một số dấu hiệu cho thấy các tổ chức tài chính truyền thống đang tham gia vào ngành. Ví dụ, các ngân hàng truyền thống đang phát hành stablecoin trên chuỗi và điều này tuân thủ theo các quy định. Các nhà cung cấp dịch vụ thanh toán truyền thống như Stripe hỗ trợ thanh toán bằng tiền điện tử. Một số khoản thanh toán xuyên biên giới sử dụng Crypto để giải quyết các vấn đề thanh toán mà thương mại điện tử xuyên biên giới truyền thống gặp phải.

Vì vậy, chúng ta sẽ thấy rằng mặc dù không có sự đổi mới nào như DeFi Summer vào năm 2021 và 2022 đã tạo ra mức cao mới về TVL, các tổ chức tài chính truyền thống và các thương gia có nhu cầu thực tế đang tham gia vào ngành này và sau khi họ tham gia, họ sẽ mang lại sự tuân thủ cho toàn bộ ngành. Nếu một ngành công nghiệp muốn phát triển lớn mạnh hơn, nó phải phát triển theo khuôn khổ và hệ thống quản lý. Tôi nghĩ đây là cơ hội mà chúng ta có thể thấy trong một hoặc hai năm trở lại đây. Nhìn chung, quy mô công nghiệp chung của bảo mật blockchain vẫn còn tương đối nhỏ và vẫn đang trong giai đoạn đầu. Tuy nhiên, với sự tham gia của các tổ chức tài chính truyền thống và ngày càng có nhiều sự giám sát và tuân thủ hơn, tôi nghĩ rằng tiềm năng bùng nổ trong lĩnh vực này vẫn còn tương đối lớn. Đây là quan sát của riêng tôi.

Hào nước của các công ty an ninh hàng đầu

Alex: Được thôi. Tôi có ấn tượng rất sâu sắc rằng vào năm 2021 và 2022, có vẻ như các công ty bảo mật blockchain, đặc biệt là những công ty thực hiện kiểm toán hợp đồng thông minh, đều rất có lãi. Ngay cả một số công ty bảo mật nổi tiếng cũng sẽ cảm thấy đó là một đặc ân nếu họ cho phép bạn được ưu tiên và sắp xếp một cuộc kiểm toán nhanh hơn. Bạn nghĩ đâu là lợi thế chính của các công ty an ninh hàng đầu?

Chu Á Cẩm: Tôi nghĩ có thể có một số điểm. Điểm đầu tiên là về thương hiệu và lòng tin. Đặc biệt là kiểm toán bảo mật, đây là dịch vụ thực sự đòi hỏi nhận thức về thương hiệu rất mạnh mẽ. Bạn vừa đề cập rằng khi thị trường tốt hơn trước đây, hoạt động kiểm toán rất phổ biến và có thể phải mất một thời gian dài để chờ đợi. Trên thực tế, tình trạng này vẫn xảy ra ở các công ty kiểm toán bảo mật hàng đầu hiện nay. Không phải lúc nào nhóm dự án đến kiểm toán cũng có thể huy động được nguồn nhân lực ngay lập tức. Các công ty bảo mật hàng đầu có thương hiệu vẫn đang trong tình trạng cung vượt cầu. Vì vậy, tôi nghĩ hào nước chính là thương hiệu và lòng tin. Làm thế nào để xây dựng hình ảnh thương hiệu tốt hơn trong ngành bảo mật blockchain và niềm tin đằng sau thương hiệu, cho dù niềm tin đó đến từ người dùng, các bên tham gia dự án hay những người tham gia khác, đều rất quan trọng.

Điểm thứ hai là nhu cầu về công nghệ đổi mới an toàn. Ngoài việc giải quyết các vấn đề bảo mật blockchain và tiến hành kiểm tra bảo mật, chúng ta thực sự không có giải pháp nào khác cần bổ sung sao? Kiểm toán bảo mật chỉ có thể giải quyết vấn đề tiến hành đánh giá bảo mật trước khi hợp đồng thông minh của dự án được triển khai trên chuỗi. Tuy nhiên, sau khi dự án thực sự được khởi chạy, bên dự án có thể thay đổi các thông số và thực hiện một số cấu hình hàng ngày. Các nâng cấp hàng ngày không được kiểm tra do phải xếp hàng hoặc cân nhắc đến chi phí. Nghĩa là có nhiều vấn đề bảo mật phát sinh do nhiều lý do khác nhau sau khi hợp đồng thông minh được triển khai. Chúng ta không thể chỉ dựa vào kiểm tra bảo mật để giải quyết những vấn đề như vậy. Chúng ta cần một số công nghệ và sản phẩm bảo mật tiên tiến để giải quyết những vấn đề như vậy. Đây cũng là điều tôi cho là rất khác biệt giữa BlockSec và các công trình bảo mật blockchain khác. Ngoài các dịch vụ kiểm tra bảo mật cho hợp đồng thông minh trước khi giao thức được đưa vào hoạt động trực tuyến, chúng tôi còn có một nền tảng có thể giám sát và chặn các cuộc tấn công sau khi hợp đồng thông minh được đưa vào hoạt động trực tuyến. Đây cũng là công ty bảo mật blockchain duy nhất trên thế giới có cả chức năng kiểm toán thông minh và giám sát tấn công, đồng thời có thể bao quát toàn bộ vòng đời của hợp đồng thông minh. Điều này rất quan trọng. Bạn phải có những công nghệ và sản phẩm an toàn và sáng tạo có thể giúp người dùng thực sự giải quyết các vấn đề trên thị trường này.

Điểm thứ ba là sự tuân thủ, quy định và ảnh hưởng địa chính trị. Ngành công nghiệp tiền điện tử cuối cùng sẽ cần phải tuân thủ và được quản lý để có cơ hội phát triển trên quy mô lớn. Không phải ai cũng đồng ý với quan điểm này, nhưng chúng tôi đã hoạt động trong ngành này nhiều năm và chúng tôi có thể thấy rằng để ngành này phát triển, nó phải minh bạch và tuân thủ hệ thống quản lý để thu hút nguồn tiền truyền thống vào ngành này. Trong trường hợp này, hãy chuẩn bị trước các sản phẩm và dịch vụ tuân thủ quy định. Các dịch vụ sản phẩm tuân thủ và quy định đòi hỏi bạn phải có hiểu biết tương đối sâu sắc về các chính sách quy định và yêu cầu tuân thủ của ngành, sau đó có khả năng biến chúng thành sản phẩm. Một cái gọi là ảnh hưởng địa chính trị khác là khi một số khu vực lựa chọn nhà cung cấp, họ thực sự đã tính đến một số cân nhắc về địa chính trị. Ví dụ, các cơ quan quản lý ở Hồng Kông có thể ưu tiên các sản phẩm từ các nhà cung cấp không phải của Hoa Kỳ. Vì vậy, khi bạn hiểu sâu sắc về việc tuân thủ chính sách quản lý, có sản phẩm tốt hơn và cũng có thể có một số ảnh hưởng địa chính trị, tôi nghĩ đây chính là lợi thế của một công ty bảo mật blockchain.

Alex: Tôi hiểu rồi. Hôm nay chúng ta sẽ thảo luận về bảo mật mã hóa từ nhiều góc độ, từ một sự cố bảo mật cụ thể đến một số nguyên tắc bảo mật mà mọi người cần chú ý và quy mô phát triển của toàn bộ ngành. Cảm ơn Zhou Yajin rất nhiều vì đã đến chương trình của chúng tôi hôm nay để chia sẻ những hiểu biết sâu sắc này. Tôi hy vọng chúng ta sẽ có nhiều cơ hội hơn để thảo luận về nhiều chủ đề liên quan hơn trong tương lai.

Chu Á Cẩm: Cảm ơn anh, Alex.

Liên kết gốc