Vấn đề về bảo mật cho dự án blockchain được các chuyên gia chia sẻ tại tọa đàm Leader Talks chiều 4/4.
Theo ông Nguyễn Việt Dinh, CTO Symper, mức độ đầu tư cho bảo mật của các dự án blockchain tại Việt Nam chưa nhiều, tạo điều kiện cho nhiều vụ tấn công xảy ra thời gian gần đây. Trước khi hệ thống của Sky Mavis bị tấn công gây thiệt hại hơn 600 triệu USD, một ứng dụng ví tiền điện tử của Việt Nam cũng từng bị xâm nhập và làm lộ thông tin KYC (xác thực thông tin cá nhân) của 1,5 triệu người dùng. Một số dự án GameFi tại Việt Nam còn bị khai thác lỗi sinh số ngẫu nhiên trên smart contract. "Đa số các dự án chỉ chi 10-20 nghìn USD cho việc hoàn thiện smart contract, trong khi thiếu đầu tư cho việc bảo mật chuyên nghiệp", ông Dinh nói.
Đồng quan điểm, ông Nguyễn Minh Đức, Giám đốc CyRadar kiêm cố vấn SecuriChain, nhận định nhiều dự án blockchain Việt đang phát triển nhanh và nóng. "Đến khi dự án trở nên phổ biến, được đầu tư nhiều tiền hoặc có lợi nhuận, những lỗ hổng từ giai đoạn ban đầu có thể trở thành vấn đề nguy hiểm, có thể dẫn đến sụp đổ hệ thống nếu chúng ta phát triển nhanh nhưng nền móng không vững chắc", ông Đức khuyến cáo.
Theo ông, vấn đề này không chỉ xảy ra với các dự án Việt Nam, mà là tình trạng chung trên thế giới. "Số vụ tấn công vào các dự án liên quan đến blockchain gia tăng thời gian qua. Ngoài yếu tố khách quan là do hacker, một phần nguyên nhân cũng do chính các dự án chưa quan tâm đến bảo mật", ông cho hay.
Thách thức bảo mật với dự án blockchain
Ông Đức cho rằng, người dùng cần thay đổi suy nghĩ blockchain sẽ miễn nhiễm với các cuộc tấn công. Hoạt động phi tập trung của blockchain giúp công nghệ này có khả năng phòng vệ tốt hơn. Tuy nhiên các giao thức, phần mềm đều do con người phát triển ra nên hoàn toàn có thể tồn tại lỗ hổng. Ông nhấn mạnh, các vụ tấn công thời gian qua thực tế không nhắm đến yếu tố nền tảng là blockchain, mà nhắm đến các ứng dụng như game, ví hoặc sàn giao dịch, cầu nối. "Đây là các ứng dụng sử dụng blockchain, nhưng thực chất vẫn là những ứng dụng web, mobile và vẫn có lỗ hổng như phần mềm truyền thống", Giám đốc CyRadar đánh giá. "Điều này cũng được thể hiện ở việc các dự án blockchain trước khi đưa lên sàn đã phải đạt được một số điều kiện về bảo mật, nhưng các vụ hack vẫn xảy ra do chúng bị khai thác từ các lỗ hồng truyền thống".
Yếu tố blockchain trong nhiều trường hợp còn trở thành thách thức cho việc bảo mật và giữ an toàn cho tài sản. Theo ông Dinh, các dự án blockchain thường là mã nguồn mở nên nếu có lỗ hổng sẽ rất dễ bị khai thác bởi giới hacker. Tính phi tập trung của công nghệ này làm cho việc truy vết và thu hồi tài sản khó hơn dự án truyền thống. Ví dụ như vụ hack của Axie Infinity, hacker đã bắt đầu tẩu tán tài sản bằng nhiều giao thức mà không thể truy vết hay thu hồi.
Thách thức trong bảo mật với dự án blockchain còn đến từ yếu tố quy trình phát triển sản phẩm và đầu tư cho nhân sự của các dự án. Ông Dinh đánh giá, blockchain là lĩnh vực mới, tài liệu và kinh nghiệm của những người tham gia chưa nhiều. Ngoài ra, các dự án thường muốn làm những cái có thể tạo ra lợi ích ngay cho sản phẩm, cộng đồng nên nhân lực cho bảo mật chưa nhiều.
Một số dự án hiện nay xây dựng blockchain riêng. Chuyên gia của Symper nhận định đây là điều tốt, thể hiện đội ngũ có năng lực ở mức khá trở lên, đồng thời giúp phí giao dịch bớt tốn kém và giảm độ trễ, tăng uy tín của dự án. Tuy nhiên, những dự án như vậy cũng tiềm ẩn nguy cơ khi nguồn lực cho bảo mật không được đầu tư nhiều, một số người trong nhóm có thể nổi lòng tham khi thấy khối tản sản hàng tỷ USD, gây ra rủi ro cho dự án.
Ở vai trò cố vấn cho nhiều dự án blockchain Việt, ông Đức cho biết rất nhiều nhà sáng lập dự án đã có có nhận thức về vấn đề an toàn thông tin. Tuy nhiên, vấn đề này thường không đo đếm được, trong khi gây tốn kém chi phí mà không mang lại hiệu quả trực tiếp. Vì vậy ở giai đoạn đầu, các dự án thường bỏ qua yếu tố này để tập trung hoàn thiện sản phẩm.
"Về sau, nếu hệ thống thành công, họ mới quay trở lại đầu tư vào bảo mật. Nhưng thực tế, có nhiều dự án thành công nhưng vẫn bị tấn công, do chưa đầu tư một cách bài bản về bảo mật", ông Đức nói.
Một trong những giải pháp được chuyên gia này đưa ra là các công ty có thể hợp tác với đối tác chuyên về bảo mật nhằm đánh giá lại các hệ thống, ứng dụng, smart contract, hạ tầng máy chủ, quy trình vận hành... Ông cũng dự báo xu hướng tấn công nhắm vào các dự án blockchain sẽ còn gia tăng. Những vụ hack xảy ra gần đây là yếu tố thúc đẩy các dự án cần quan tâm đến bảo mật hệ thống hơn.
"Theo thời gian, các dự án blockchain còn tồn tại trong thời gian tới sẽ đi vào chất lượng nhiều hơn, quan tâm hơn đến phát triển tính năng, cộng đồng và bảo mật. Ngoài ra, nhu cầu về nhân sự trong mảng blockchain sẽ còn gia tăng. Các tổ chức đào tạo về lập trình cũng cần đón nhận xu hướng này để chúng ta có đội ngũ nhân sự cung cấp cho thị trường", ông Đức nói.
Xem diễn biến chính