-
14h00
Trong tọa đàm Leader Talks diễn ra từ 14h ngày 4/4, các lãnh đạo công nghệ sẽ cùng thảo luận về thực trạng bảo mật trong các dự án blockchain hiện tại, làm sao để người dùng tránh bị mất tiền khi tham gia vào thị trường số... Hai diễn giả tham gia là ông Nguyễn Minh Đức, Giám đốc CyRadar kiêm cố vấn SecuriChain và ông Nguyễn Việt Dinh, CTO Symper.
Tọa đàm Leader Talks nằm trong chuỗi sự kiện của Hội thảo CTO Summit 2022 và chương trình bình chọn Lãnh đạo công nghệ trẻ do VnExpress tổ chức.
-
14h02
Thực trạng bảo mật trong lĩnh vực blockchain
- Là quản trị viên một cộng đồng đầu tư tài sản mã hoá tại Việt Nam, ông có thể mô tả phản ứng của cộng đồng khi nghe tin về vụ hack 600 triệu USD vào mạng Ronin của Sky Mavis?
Ông Nguyễn Việt Dinh, CTO Symper: Cộng đồng phản ứng rất mạnh, phần lớn rất ngạc nhiên và bàng hoàng vì Axie Infinity là dự án liên quan đến blockchain lớn nhất của Việt Nam từ trước đến nay với vốn hóa hàng tỷ USD. Phần đông những người trong ngành đều lấy làm tiếc và chia sẻ với Sky Mavis. Ngoài ra mọi người cũng có những ý kiến trái chiều về việc này. Các diễn đàn về blockchain cũng liên tục có những cuộc thảo luận, webinar để tìm ra nguyên nhân và cùng nhau rút kinh nghiệm và có những ý kiến khác nhau về vụ tấn công.
Cộng đồng hàng triệu người dùng có nguy cơ mất tiền dù Sky Mavis thông báo sẽ đảm bảo tài sản cho mọi người. Đây là phản ứng tuyệt vời của đội ngũ phát triển. Tuy nhiên, hiện các giao dịch đều chưa thực hiện được. Vụ hack không chỉ ảnh hưởng đến đội ngũ phát triển Sky Mavis, rủi ro này còn có thể tác động đến tâm lý của toàn thị trường vì Axie Infinity của Sky Mavis đang có vai trò dẫn dắt thị trường.
-
14h05
- Vì sao những vụ tấn công này diễn ra trong khi công nghệ blockchain vốn được xem là an toàn?
Ông Nguyễn Minh Đức, Giám đốc CyRadar: Thực tế, chúng ta cần phải thống nhất với nhau một vấn đề, đó là blockchain không miễn nhiễm với các vụ tấn công. Dù hoạt động phi tập trung có thể mang lại cho blockchain khả năng phòng vệ tốt hơn, nhưng nó vẫn có thể có lỗ hổng do đây vẫn là các giao thức, phần mềm do con người phát triển ra. Về mặt nguyên tắc vẫn có thể có lỗ hổng.
Thứ hai, các vụ tấn công trong khoảng một năm qua không phải nhắm vào giao thức blockchain, mà nhắm đến các ứng dụng, như game, ví hoặc sàn giao dịch, cầu nối. Đây là các ứng dụng sử dụng blockchain, nhưng thực chất đó vẫn là những ứng dụng web, mobile và vẫn có lỗ hổng như các phần mềm truyền thống. Chúng ta cần làm rõ các vụ hack này có liên quan đến công nghệ blockchain, chứ không phải 100% là blockchain.
Theo thống kê, trong số 10 vụ tấn công tiền mã hóa lớn nhất, có 6 vụ xảy ra năm 2021, trong khi những vụ tấn công đầu tiên đã xảy ra từ năm 2011. Như vậy, chỉ trong năm 2021 đã chiếm 60%. Thiệt hại của năm 2021 bằng tổng các năm trước cộng lại, cho thấy xu hướng tấn công mạng nhắm vào các dự án blockchain gia tăng rất nhanh, trở thành mục tiêu rõ ràng của giới tội phạm mạng. Tuy nhiên, những vụ như vậy cũng giúp cho các dự án được cảnh tỉnh, tập trung hơn vào vấn đề bảo mật, để tránh mắc phải các sai lầm của những dự án đã gặp phải
-
14h07
- Vì sao những mạng blockchain lớn như Bitcoin, Ethereum không bị hack trong khi các mạng như Ronin lại bị tấn công với quy mô lên đến hơn 600 triệu USD?
Ông Nguyễn Việt Dinh: Thực ra không phải mạng lưới Ronin mà là Ronin bridge bị tấn công. Ronin bridge là cầu nối để người dùng luân chuyển tài sản mã hóa giữa hai blockchain Ethereum và Ronin Network. Và Ronin bridge dùng luôn các trình xác thực (validator) của Ronin Network để xác thực các giao dịch rút tiền của người dùng trên Ronin bridge. Vấn đề của Ronin bridge là sử dụng 9 trình xác thực và chỉ cần 5 trong số 9 trình xác thực đồng ý là có thể thực hiện được các giao dịch rút tiền.
Ngoài việc dùng ít trình xác thực ra, nguyên nhân chính là họ bị hack vào hàng loạt server và lấy đi các private key (khóa bí mật). Ít nhất là 5/9 server đã bị hack, từ đó có thể rút tiền từ quỹ của Ronin bridge trên mạng Ethereum. Tổng cộng là hacker đã thực hiện hai lệnh rút tiền với hơn 600 triệu USD quy đổi. Vấn đề của Ronin là bị hacker xâm nhập hàng loạt và server xác thực quá ít.
Chúng ta thường không nghe các thông tin về mạng Bitcoin hay Ethereum bị hack bởi họ có cộng đồng lớn, như Bitcoin có hơn 14.000 node, mạng lưới các thợ mỏ cũng lên đến hàng trăm nghìn máy tính vì thế mức độ phi tập trung cao hơn rất nhiều. Hơn nữa cộng đồng nhà phát triển tham gia đóng góp mã nguồn cho các mạng blockchain cũng cực kỳ đông và có trình độ cao, vì thế khó bị tấn công hơn, nhưng cũng phải là không thể về mặt lý thuyết.
Phần lớn các vụ hack hiện tại chủ yếu là các tầng ứng dụng trên nền tảng Ethereum hoặc do sơ suất của cá nhân người dùng như mất ví, lừa đảo, bị hack vào máy tính và lấy đi khoá bảo mật, từ đó bị mất tiền.
Ông Nguyễn Minh Đức: Thực tế có một điểm đặc biệt, riêng trong năm 2022, ngoài vụ của Ronin, trong tháng 2 cũng có một vụ khác nằm top 10 vụ tấn công lớn, đó là việc Wormhole Bridge bị tấn công và thiệt hại 320 triệu USD. Như vậy hai vụ tấn công lớn trong năm 2022 đều liên quan đến cầu nối. Bridge (cầu nối) có thể hiểu là một ứng dụng cho phép người dùng chuyển tài sản số từ blockchain này sang blockchain khác. Bridge cần một lượng tiền dự trữ lớn để bảo lãnh cho các đồng tiền, từ đó chúng trở thành mục tiêu của giới tội phạm.
Rõ ràng nếu như các nhà phát triển chưa đủ tuân thủ nguyên tắc về an toàn thông tin, hoặc các khâu từ thiết kế, vận hành mà chưa đảm bảo các quy trình ATTT thì có thể xảy ra sơ suất. Khi phân tích, hầu hết sơ suất đều liên quan đến yếu tố con người, như khâu thiết kế, vận hành hay lập trình, đều có thể tạo thành các lỗ hổng để kẻ xấu lợi dụng.
Ví dụ trong mạng lưới có 9 nút xác thực, đây là một con số khá ít. Về mặt lý thuyết, hacker đã chiếm được quá 50% các máy xác thực này và chiếm được quyền điều khiển hệ thống. Ngoài ra còn có những hệ thống từng bị lỗ hổng ở những khâu lập trình khá cơ bản. Theo tôi, các dự án về blockchain cũng nên nhân cơ hội này để rà soát lại hệ thống của mình, kiểm tra, xác định lại các rủi ro có thể có.
Nhiều dự án blockchain thời gian qua phát triển nhanh và nóng. Đến khi chúng trở nên phổ biến, được đầu tư nhiều tiền hoặc có lợi nhuận, những lỗ hổng từ giai đoạn ban đầu có thể trở thành vấn đề nguy hiểm, có thể dẫn đến sụp đổ hệ thống nếu chúng ta phát triển nhanh nhưng nền móng không vững chắc.
-
14h11
- Theo hai diễn giả, mức độ đầu tư cho bảo mật của các dự án blockchain Việt Nam hiện nay như thế nào?
Ông Nguyễn Việt Dinh: Mức độ đầu tư cho bảo mật của các dự án blockchain tại Việt Nam hiện chưa nhiều. Hậu quả là đã xảy ra khá nhiều các vụ hack, như vụ hack Axie Infinity mới đây. Cuối năm ngoái, một ứng dụng ví tiền điện tử của Việt Nam cũng bị xâm nhập và làm lộ thông tin KYC (xác thực thông tin cá nhân) của 1,5 triệu người dùng. Một game nữa là Wanaka Farm cũng bị hack một triệu USD do lỗi thiết kế hệ thống. Một số dự án GameFi của Việt Nam còn bị khai thác về lỗi sinh số ngẫu nhiên trên smart contract. Đa số các dự án chỉ đầu tư 10-20 nghìn USD cho việc hoàn thiện smart contract, hệ thống server thiếu giám sát và đầu tư cho việc bảo mật chuyên nghiệp. Nguyên nhân có thể như anh Đức nói: "Thị trường đang phát triển quá nóng".
Ông Nguyễn Minh Đức: Không chỉ các dự án Việt Nam, các dự án trên thế giới cũng gặp tình trạng đó. Số vụ tấn công gia tăng thời gian qua đã thể hiển việc này. Riêng trong 2021 và 2022 đã có 7 vụ lọt vào top 10 vụ tấn công lớn nhất. Có thể thấy đây là xu hướng đang gia tăng, một phần do chính các dự án chưa quan tâm đến bảo mật.
Vì vậy, các dự án cần nhìn nhận lại một cách nghiêm túc và đầu tư hơn vào bảo mật. Thực tế khi một dự án hình thành, với một nhóm khoảng 3-5 người hoặc nhiều hơn, mà phải đầu tư cho bảo mật thì cũng rất khó, vì có thể làm chậm đi tốc độ phát triển dự án. Đây là một lý do khách quan. Không phải do họ không có nhận thức, mà do các dự án cần tập trung hơn vào việc đưa ra sản phẩm để hoàn thiện deadline. Trong khi vấn đề bảo mật thường không đo đếm được, gây tốn kém chi phí mà không mang lại hiệu quả trực tiếp, vì vậy họ thường tạm thời bỏ qua trong giai đoạn đầu. Về sau, nếu hệ thống thành công, họ mới quay trở lại đầu tư vào bảo mật. Nhưng thực tế, có nhiều dự án thành công nhưng vẫn bị tấn công, do chưa đầu tư một cách bài bản về bảo mật.
Tại SecuriChain trong 3 tháng gần đây, sau các vụ tấn công lớn, chúng tôi cũng đang làm việc với khá nhiều dự án blockchain và nhận thấy họ thực sự quan tâm đến vấn đề bảo mật, muốn nâng cao hệ thống để bảo đảm an toàn. Các dự án blockchain khi đưa lên sàn cũng có yêu cầu khá khắt khe, đó là cần audit và có smartcontract để chứng minh cho cộng đồng là được đầu tư, được xác thực bởi một bên thứ ba chuyên về bảo mật. Tuy nhiên, đây cũng chỉ là điều kiện cần thôi, vì thực tế khi các vụ hack xảy ra, nguyên nhân có thể không đến từ contract hay blockchain, mà từ các lỗ hổng truyền thống. Vì vậy, các dự án cần đầu tư bài bản hơn về ứng dụng, chứ không chỉ về smart contract.
-
14h20
- Ông có thể phân tích thêm, ở các vụ đánh cắp tiền điện tử, hacker đã khai thác những điểm yếu nào?
Ông Nguyễn Minh Đức: Có hai hình thức tấn công, Một là lừa đảo trực tuyến, nhắm đến người dùng, nhà đầu tư, người chơi game. Thứ hai là tấn công trực diện vào các ứng dụng ví, sàn, game.
Hai mục tiêu tấn công có thể khác nhau.
Với hình thức lừa đảo trực tuyến, khá giống với lừa đảo trực tuyến của các hệ thống truyền thống hiện nay. Chúng có kịch bản lừa đảo tinh vi, qua chat, email để dụ dỗ nạn nhân bấm và link, từ đó chiếm mật khẩu và tài khoản. Chúng cũng có thể lừa nạn nhân cài mã độc, có khả năng đánh cắp thông tin người dùng. Mỗi người có thể mất không nhiều, nhưng một tập hàng triệu người dùng thì sẽ gây ra thiệt hại lớn.
Hình thức thứ hai là tấn công vào các nền tảng, lợi dụng khai thác các lỗ hổng của phần mềm này. Chúng ta có thể thấy các lỗ hổng phần mềm vẫn luôn tồn tại, có thể tiếp tục được phát hiện trong thời gian tới. Thống kê của chúng tôi trong tháng 12/2021 đã có 8 vụ tấn công, gây thiệt hại 604 triệu USD, trong đó có bốn vụ đến từ lỗ hổng của smart contract. Tuy nhiên, con số thiệt hại phần lớn lại từ các lỗ hổng không phải của blockchain, mà do lỗ hổng cơ bản của phần mềm mang tính truyền thống. Như vậy có thể thấy, chỉ tập trung vào audit và smart contract thì vẫn chưa giải quyết được toàn bộ vấn đề.
Tổng kết lại, thống kê về lừa đảo nhắm đến người dùng cá nhân. Còn các vụ tấn công trực diện nhắm đến sàn, các ứng dụng dự án blockchain.
-
14h23
- Đặc tính cốt lõi của blockchain là phi tập trung, điều này mang lại thuận lợi và thách thức gì với vấn đề an toàn thông tin?
Ông Nguyễn Việt Dinh: Về vấn đề an toàn thông tin đối với các dự án blockchain vẫn còn nhiều thách thức, vì phi tập trung nên khó truy vết và thu hồi tài sản, hầu như không thể thu hồi. Ví dụ như vụ hack của Axie Infinity, hôm nay hacker đã bắt đầu tẩu tán tài sản bẳng nhiều giao thức mà không thể truy vết, thu hồi.
Ngoài ra, các dự án blockchain thường là mã nguồn mở vì cộng đồng có khẩu hiệu là "in code we trust" (chỉ tin vào code, không tin vào những thứ khác) nên nếu có lỗ hổng sẽ rất dễ bị khai thác, vì vậy những vụ hack vài nghìn đến vài chục nghìn USD diễn ra hàng ngày. Vì lợi nhuận quá lớn, các hacker sẽ tập trung phân tích các lỗ hổng được chia sẻ trên cộng đồng để khai thác.
Tuy nhiên các dự án blockchain mới cũng có thuận lợi nếu triển khai trên các blockchain đã có tính phi tập trung cao, hoặc chính dự án đó đã có cộng đồng mạnh, khi đó phần nền tảng có thể tạm yên tâm. Ví dụ để triển khai một Dapps trên Ethereum, chỉ cần tập trung vào vấn đề an toàn của smart contract và các thành phần trên server của mình, chứ không cần lo lắng về an toàn của mạng lưới Ethereum. Hay với cầu nối của Ronin, chỉ cần tấn công dịch vụ vào 9 server này thì toàn mạng lưới cũng đã có thể sụp đổ, chưa cần hack nên thách thức với bảo mật trong blockchain rất lớn. Chỉ một vài blockchain lớn có tính phi tập trung cao còn mạng blockchain nhỏ lại chưa thật sự phi tập trung.
-
14h28
Những lưu ý với nhà phát triển và người dùng
- Các nhà phát triển dự án liên quan tới blockchain cần làm gì để tránh bị tấn công và nên xử lý như thế nào nếu không may gặp sự cố?
Ông Nguyễn Minh Đức: Mỗi dự án blockchain có thể ví như một ứng dụng tài chính, ví dụ ứng dụng ngân hàng. Tuy nhiên nhân sự về an toàn thông tin của các dự án này nếu so với lượng nhân sự an toàn thông tin của một ngân hàng thì khá khập khiễng. Vì hầu như các dự án blockchain không có, hoặc không đủ kỹ sư về bảo mật làm việc trong đó.
Tôi cho rằng việc đầu tiên họ có thể hợp tác với các công ty chuyên về an toàn thông tin. Nhiệm vụ này sẽ giao cho các công ty đó, đánh giá lại các hệ thống, ứng dụng, smart contract, hạ tầng máy chủ, quy trình vận hành... Những vấn đề này đều có thể trở thành nguyên nhân để tấn công. Vì vậy việc hợp tác với đối tác chuyên về an toàn thông tin sẽ giúp chúng ta có nhìn nhận đúng đắn, sớm hơn với các vấn đề có thể xảy ra.
Tôi cũng đồng ý với anh Dinh, chúng ta nên xây dựng một hệ thống giám sát an toàn thông tin 24/7. Để khi có sự cố, chúng ta sẽ biết kịp thời và có hành động xử lý. Còn khi đã xảy ra sự cố, có thể phối hợp với các đối tác để tiến hành điều tra, tìm nguyên nhân của vấn đề, khoanh vùng và xử lý. Sau đó cập nhật lại toàn bộ hệ thống, quy trình và con người để hạn chế, ngăn chặn các lỗ hổng tương tự trong tương lai. Ngoài ra, một lưu ý nữa là cũng cần cân đối một tỷ lệ ngân sách nhất định để vấn đề bảo mật có hiệu quả, tránh việc bảo mật quá mức làm giảm tốc độ phát triển
-
14h31
- Hiện nay một số dự án có xu hướng xây dựng blockchain riêng. Nó mang lại lợi thế gì nhưng cũng ẩn chứa rủi ro gì về bảo mật?
Ông Nguyễn Việt Dinh: Đối với các dự án có ý định xây dựng blockchain riêng, điều này chứng tỏ đội ngũ phát triển có năng lực ở mức khá trở lên, làm cho uy tín của dự án tăng lên nhiều, vì thế nhiều dự án muốn xây dựng blockchain riêng cho mình. Ngoài ra, cũng có thể giúp phí giao dịch bớt tốn kém và giảm độ trễ.
Nhưng như chúng ta đã thấy, nó cũng có rủi ro rất lớn về tính bảo mật và phi tập trung. Ban đầu nguồn lực cho bảo mật chưa được đầu tư nhiều nên ấn chứa nguy hiểm. Ngoài ra, việc bảo mật các node trong các blockchain từ vài đến vài chục node không được phi tập trung. Trong đội ngũ các nhà phát triển, nếu không có quy trình quản lý chặt chẽ như ngân hàng, một số người trong nhóm có thể nổi lòng tham khi thấy khối tản sản hàng tỷ USD. Đây cũng là một loại rủi ro cần lưu ý.
-
14h34
- Người dùng cần làm gì để tránh rủi ro khi đầu tư vào các dự án NFT, GameFi, crypto. Làm sao để biết một dự án có bảo mật tốt hay không?
Ông Nguyễn Việt Dinh: Đối với người dùng không phải người làm kỹ thuật, khi đầu tư vào các dự án NFT, GameFi hay crypto nói chung cần xem xét đến uy tín của đội ngũ phát triển và mọi thông tin có thể đọc, cũng như tìm đến sự tư vấn, nhận xét của các chuyên gia trong ngành. Nói chung càng nhiều thông tin uy tín càng hạn chế được rủi ro.
Khi tham gia thị trường tiền mã hoá, đầu tiên người dùng phải giữ được tiền rồi mới tính đến lợi nhuận. Có những người nhờ tôi tư vấn bị mất đến 500.000 USD, đây là con số lớn với người Việt. Ngoài hình thức lừa đảo bằng cách nhấn vào link lạ, cũng có người bị hack vào máy tính cá nhân để đánh cắp khoá bảo mật. Ngoài ra việc lưu khoá bảo mật trong email, đoạn chat với chính mình trong Facebook. Đây là những ví dụ rất điển hình về việc chưa kịp kiếm được lời đã mất tiền.
Cũng có những dự án chủ động lừa đảo chứ không phải hack. Khi giá lên, đội ngũ phát triển rút hết thanh khoản, người dùng không thể rút tiền về nên mọi người nên theo dõi tin tức hàng ngày để bảo vệ mình.
Ông Nguyễn Minh Đức: Các dự án quan tâm đến bảo mật thường thể hiện điều đó khá rõ trên website hoặc tài liệu của họ, có thể bằng việc hợp tác với các công ty uy tín về bảo mật, có thể là 2-3 công ty độc lập về an toàn thông tin để audit hệ thống. Họ cũng có thể có các chứng chỉ, hợp tác dài hơi với các đối tác về an toàn thông tin. Theo tôi đó là những điều thể hiện bên ngoài mà nhà đầu tư có thể nhìn vào để thấy dự án đó có quan tâm đến bảo mật.
Nếu là dân kỹ thuật, chúng ta có thể tìm hiểu sâu hơn, ví dụ trong đội ngũ có ai am hiểu về bảo mật, hoặc đọc các đoạn mã công khai để đánh giá tính chỉn chu khi phát triển phần mềm. Còn nếu đứng từ phía nhà đầu tư, chỉ có thể xem xét thông qua việc hợp tác của họ với các đối tác về an toàn thông tin.