7 vụ hack cầu nối blockchain chiếm 1,2 tỉ USD trong năm 2022: Làm gì để bịt lỗ hổng?

Thế giới số - Ngày đăng : 21:07, 09/08/2022

Một ngày khác, một vụ hack khác và một cây cầu nối blockchain khác "bị cháy".

Khi những hacker đánh cắp ước tính 190 triệu USD từ công ty tiền mã hóa Nomad (Mỹ) vào tuần trước, đây là vụ hack thứ 7 trong năm 2022 nhắm vào một bánh răng ngày càng quan trọng trong guồng máy tiền mã hóa: Cầu nối blockchain - chuỗi mã giúp di chuyển các đồng tiền mã hóa giữa các ứng dụng khác nhau.

Cho đến thời điểm này trong năm nay, hacker đã đánh cắp số tiền mã hóa trị giá khoảng 1,2 tỉ USD từ các cầu nối blockchain, nhiều hơn gấp đôi năm ngoái, theo dữ liệu từ công ty phân tích blockchain Elliptic có trụ sở tại London (Anh).

Ronghui Hu, giáo sư khoa học máy tính tại Đại học Columbia ở New York (Mỹ) và là đồng sáng lập của hãng an ninh mạng CertiK, cho biết đây là cuộc chiến mà công ty an ninh mạng hoặc dự án không thể chiến thắng.

"Chúng tôi phải bảo vệ rất nhiều dự án. Khi xem một dự án không có lỗi, hacker có thể đơn giản chuyển sang dự án tiếp theo, cho đến khi họ tìm thấy một điểm yếu", Ronghui Hu chia sẻ.

Hiện tại, hầu hết các mã thông báo kỹ thuật số chạy trên blockchain duy nhất của riêng chúng, về cơ bản là một sổ cái kỹ thuật số công khai ghi lại các giao dịch tiền mã hóa. Điều đó có nguy cơ khiến các dự án sử dụng những đồng tiền này trở nên tồi tệ, làm giảm triển vọng sử dụng rộng rãi của chúng.

Các cầu nối blockchain có mục đích phá bỏ bức tường này. Những người ủng hộ nói rằng các cầu nối blockchain sẽ đóng vai trò cơ bản trong Web3 - tầm nhìn được thổi phồng rất nhiều về một tương lai kỹ thuật số, nơi tiền mã hóa xuất hiện trong cuộc sống và thương mại trực tuyến.

Tuy nhiên, cầu nối blockchain có thể là liên kết yếu nhất.

Vụ hack Nomad là vụ trộm tiền mã hóa lớn thứ 8 từ trước đến nay được ghi nhận. Vụ trộm khác từ các cầu nối blockchain trong năm nay như trộm 615 triệu USD tại Ronin (được sử dụng trong một game trực tuyến phổ biến) và trộm 320 triệu USD ở Wormhole (được sử dụng trong các ứng dụng tài chính phi tập trung).

Steve Bassi, đồng sáng lập kiêm Giám đốc điều hành của PolySwarm - công ty phát hiện phần mềm độc hại, cho biết: “Các cầu nối blockchain là mảnh đất màu mỡ nhất cho các lỗ hổng mới”.

7-vu-hack-cau-noi-blockchain-chiem-12-ti-usd.png
5 vụ hack cầu nối blockchain lớn nhất từ tháng 8 năm ngoái đến nay kèm số tiền và thời điểm

Nomad và những công ty khác sản xuất phần mềm cầu nối blockchain đã nhận được sự ủng hộ.

Chỉ 5 ngày trước khi bị tấn công, Nomad (có trụ sở tại thành phố San Francisco, Mỹ) nói đã huy động được 22,4 triệu USD từ những nhà đầu tư, bao gồm cả sàn giao dịch lớn Coinbase Global.

Pranay Mohan, Giám đốc điều hành và đồng sáng lập Nomad, gọi mô hình bảo mật của nó là "tiêu chuẩn vàng".

Nomad không trả lời khi được đề nghị bình luận về chuyện trên.

Nomad cho biết đang làm việc với các cơ quan thực thi pháp luật và một công ty phân tích blockchain để theo dõi các khoản tiền bị đánh cắp. Cuối tuần trước, Nomad đã công bố khoản tiền thưởng lên đến 10% với mong muốn được trả lại số tiền bị hack từ cây cầu blockchain. Ngày 6.8, Nomad nói rằng đã thu hồi được hơn 32 triệu USD trong số tiền bị hack cho đến nay.

Điều quan trọng nhất trong tiền mã hóa là cộng đồng và mục tiêu số một của chúng tôi là khôi phục quỹ người dùng bắc cầu. Chúng tôi sẽ coi bất kỳ bên nào trả lại 90% hoặc nhiều hơn số tiền lấy đi là đội mũ trắng. Chúng tôi sẽ không truy tố đội mũ trắng", Pranay Mohan nói, đề cập đến hacker mũ trắng có đạo đức.

Một số chuyên gia an ninh mạng và blockchain nói với Reuters rằng sự phức tạp của các cây cầu blockchain đồng nghĩa là chúng có thể đại diện cho gót chân Achilles ở các dự án và ứng dụng sử dụng chúng.

Một lý do tại sao hacker đã nhắm mục tiêu các cầu nối blockchain là vì sự phức tạp kỹ thuật to lớn liên quan đến việc tạo ra các loại dịch vụ này”, Ganesh Swami, Giám đốc điều hành công ty dữ liệu blockchain Covalent ở thành phố Vancouver (Canada), lưu trữ một số tiền mã hóa trên cầu của Nomad khi nó bị tấn công.

Ví dụ một số cầu nối tạo ra các phiên bản của tiền mã hóa làm cho chúng tương thích các blockchain khác nhau, giữ các đồng tiền gốc dự trữ. Những cầu nối khác dựa vào các hợp đồng thông minh - giao ước phức tạp để thực hiện các giao dịch một cách tự động.

Mã liên quan đến tất cả những thứ này có thể chứa lỗi hoặc các lỗ hổng khác, có khả năng mở cửa cho hacker tấn công.

Vậy làm cách nào tốt nhất để giải quyết vấn đề?

Một số chuyên gia cho biết việc kiểm tra các hợp đồng thông minh có thể giúp bảo vệ chống lại các vụ hack trên mạng, cũng như các chương trình "tiền thưởng lỗi" khuyến khích các đánh giá nguồn mở về mã hợp đồng thông minh.

Những người khác kêu gọi giảm bớt sự tập trung kiểm soát các cầu nối bởi các công ty riêng lẻ, điều mà họ cho rằng có thể tăng cường khả năng phục hồi và tính minh bạch của mã.

Victor Young, người sáng lập kiêm kiến ​​trúc sư trưởng tại công ty blockchain Analog (Mỹ), cho biết: “Các cây cầu blockchain là mục tiêu hấp dẫn với hacker vì chúng thường tận dụng cơ sở hạ tầng tập trung, hầu hết trong số đó khóa tài sản”.

Sơn Vân