Hệ sinh thái Web3 phải đối mặt với nhiều thách thức bảo mật, bao gồm cả những thách thức được kế thừa từ Web2 và những thách thức từ các vectơ tấn công mới. Điều quan trọng là phải thực hiện các phương pháp tốt nhất như kiểm toán hợp đồng thông minh, phân tích blockchain, giám sát thời gian thực, v.v. những điều cần thiết để thúc đẩy hệ sinh thái Web3 an toàn. Omatech Web3 nhận thấy được điều đó và đã phát triển các sản phẩm và dịch vụ cơ sở hạ tầng bảo mật quan trọng liên quan đến Web3, bao gồm các giải pháp lưu ký dựa trên tính toán nhiều bên (MPC), hệ thống quản lý ví và nhiều sản phẩm và dịch vụ khác.

Web3 cho chúng ta cơ hội hình dung lại mạng Internet và xây dựng lại các nền tảng bằng cách sử dụng các nguyên tắc mới. Tuy nhiên, vì là một ngành công nghiệp non trẻ, Web3 cũng đã mở ra một loại đe dọa mạng mới, từ các lỗ hổng hợp đồng thông minh cho đến rút vốn bỏ trốn.

Để giúp người dùng và những nhà sáng lập dự án của chúng tôi điều hướng tốt hơn hệ sinh thái luôn thay đổi này, đội ngũ Omatech rất vui  khi được chia sẻ những hiểu biết trong nghành của mình về bối cảnh bảo mật Web3 và các phương pháp tốt nhất.  

Tổng quan về ngành bảo mật Web3 

Các mối đe dọa Web3 đang phát triển nhanh chóng. Những kẻ xấu có xu hướng chọn những phương thức tấn công tiết kiệm và hiệu quả nhất, chẳng hạn như sử dụng các hợp đồng thông minh độc hại trên giao diện người dùng. Nhiều mối đe dọa Web2, chẳng hạn như tấn công giả mạo, cướp đoạt SIM, phần mềm độc hại và bot attack — tiếp tục được sử dụng trong Web3.

Tuy nhiên, so với các giải pháp bảo mật Web2, không có nhiều công cụ bảo mật để ngăn chặn những vụ hack như vậy trong Web3. Trong thế giới doanh nghiệp Web2, chúng tôi có phần mềm chống vi-rút, tường lửa, bộ bảo mật trên đám mây và VPN hoặc Zero Trust để truy cập mạng lưới. Trong Web3, hầu hết các dự án chỉ sử dụng các giải pháp bảo mật một lớp, không đủ để ngăn chặn các cuộc tấn công.

Theo báo cáo của PwC, công nghệ blockchain dự kiến sẽ thúc đẩy tổng sản phẩm quốc nội (GDP) toàn cầu tăng hơn 25 lần lên 1,76 nghìn tỷ USD (chiếm 1,4% GDP toàn cầu) vào năm 2030. Nhưng khi việc áp dụng blockchain mở rộng, tỷ lệ trộm cắp cũng tăng lên.

Việc tin tặc khai thác lỗ hổng trong hợp đồng thông minh đã gây thiệt hại hơn 1,3 tỷ USD vào năm 2021 (tăng 250% so với năm 2020) và 1,8 tỷ USD trong vòng 5 tháng đầu năm 2022 (tăng 138% so với năm 2021). Mặc dù chúng ta chứng kiến sự tăng trưởng của DeFi (tổng giá trị bị khóa tăng gấp 16 lần) và sự gia tăng số lượng chuỗi chéo, các lỗ hổng mới cũng dẫn đến nhiều vụ trộm và hack hơn.

Tổng thiệt hại từ đầu năm đến nay (YTD) vào năm 2022 lên tới con số khổng lồ 2.338.910.183 USD, với khoảng 377 vụ tấn công được ghi nhận; hơn 2 tỷ USD đã bị mất do bị hack trong bảy tháng đầu năm. Hầu hết các công ty DeFi đều dựa vào các công ty kiểm toán để xem xét và xác minh mã hợp đồng thông minh trước khi triển khai, nhưng các hợp đồng thông minh này vẫn dễ bị tấn công. Có bốn loại tấn công: vụ hack lớn, tấn công cho vay nhanh, nhận tiền rồi bỏ trốn và NFT. 

Vụ hack lớn

Một trong những vụ hack khét tiếng nhất trong năm là của mạng lưới Ronin với khoản lỗ 624 triệu USD. Cuộc tấn công giả mạo nhắm mục tiêu vào các nhân viên của Sky Mavis, trong đó các tin tặc đại diện cho một công ty giả mạo liên hệ với họ qua LinkedIn và thực hiện các cuộc phỏng vấn giả với những người tỏ ra quan tâm.

Các tin tặc — sau đó được phát hiện là nhóm Lazarus từ Triều Tiên — đã gửi một tài liệu có chứa phần mềm độc hại cho một kỹ sư cấp cao và người này đã mở nó trên máy tính xách tay của công ty. Điều này cho phép tin tặc truy cập và xâm nhập đủ các node xác nhận để ăn cắp tiền.

Một sự cố lớn gần đây liên quan đến cầu tiền mã hóa Nomad vào tháng 8 năm 2022. Những kẻ khai thác đã rút khoảng 190 triệu USD từ giao thức blockchain, lợi dụng lỗ hổng của cầu Nomad và lừa nó gửi các token được lưu trữ mà không có sự cho phép phù hợp. Sự cố này đã dẫn đến việc nâng cấp giao thức của Nomad. 

Vào tháng 2 năm 2022, cầu Wormhole đã được Neodyme kiểm toán và phê duyệt. Tuy nhiên, dự án vẫn bị hack và kết quả là bị thiệt hại hơn 320 triệu USD.

Các cuộc tấn công cho vay nhanh

Các cuộc tấn công cho vay nhanh đã giảm rất nhiều từ mức cao nhất mọi thời đại là 300,5 triệu USD vào tháng 4 năm 2022 xuống còn 700.000 USD vào tháng 8 năm 2022, giảm gần 100%. Cuộc tấn công lớn nhất vào tháng 8 năm 2022 xảy ra trên XStable, trong đó kẻ tấn công đã kiếm được khoảng 366.975 USD thông qua thao túng giá.

Từ đó giao thức XStable đã tự hủy. Tuy nhiên, cuộc tấn công cho vay nhanh lớn nhất cho đến nay liên quan đến dự án Beanstalk DeFi. Giao thức của dự án này đã bị cướp đi 182 triệu USD vào tháng 4 năm 2022.  

Ôm tiền bỏ trốn

Rút vốn bỏ trốn và lừa đảo cũng đã ghi nhận sự sụt giảm rõ rệt, giảm 74% từ 38,7 triệu USD vào tháng 7 năm 2022 xuống 10 triệu USD vào tháng 8 năm 2022. Vụ ôm tiền bỏ trốn lớn nhất liên quan đến sàn giao dịch tiền mã hóa của Thổ Nhĩ Kỳ Thodex, lừa đảo hơn 400.000 nhà đầu tư Thodex trị giá khoảng 2,6 tỷ USD sau khi tạm ngừng giao dịch.  

NFT

Vào tháng 8 năm 2022, một tài khoản Twitter giả mạo bắt chước một dự án có tên We All Survived Death đã bán 155 NFT giả trị giá 11,7 ETH. Một sự cố khác đã xảy ra khi tin tặc đánh cắp 4 NFT Bored Ape và một NFT Otherdeed, có tổng giá trị lên tới 289,7 ETH (khoảng 455.000 USD vào thời điểm đó).

Những cuộc tấn công này nhấn mạnh tầm quan trọng của việc kiểm toán hợp đồng thông minh trước khi triển khai. Những nhà sáng lập dự án nên cảnh giác bằng cách thực hiện các biện pháp phòng ngừa để bảo vệ người dùng của họ.

Phân tích động: Quyết tâm chống lại các mối đe dọa trên mạng

Khi việc triển khai hợp đồng thông minh và các cầu nối trở nên phổ biến hơn, việc bảo mật Web3 sẽ ngày càng phức tạp. Do đó, các cảnh báo on-chain được đảm bảo bởi trí thông minh nhân tạo (AI) tinh vi đã trở thành một cách đáng tin cậy để đảm bảo phát hiện và ngăn chặn mối đe dọa theo thời gian thực.

Trong các vụ hack gần đây đã kể ở trên, các dự án đã bị lợi dụng dù họ đã kiểm toán mã hợp đồng thông minh của mình trong vòng sáu tháng. Do đó, các nhà sáng lập dự án nên kết hợp các lớp bảo mật bổ sung cho toàn bộ vòng đời của dự án.

Jason Jiang, Giám đốc Kinh doanh tại CertiK, cho biết “khoảng 60% các dự án không thực hiện kiểm toán trước khi ra mắt sản phẩm”. Đây là một xu hướng đáng báo động vì hầu hết các mã hợp đồng thông minh đều là mã nguồn mở và đa phần là bất biến. Một lỗ hổng trong hệ thống có thể dẫn đến thiệt hại hơn 10 triệu USD. 

Huagang Xie, CEO của Ancilia, đã nhấn mạnh tầm quan trọng của việc nhúng các biện pháp bảo mật ngay từ giai đoạn thiết kế của dự án. Ở giai đoạn này, các nhà sáng lập dự án nên khai thác các thư viện đã được kiểm nghiệm, hiểu về mối đe dọa bảo mật và làm theo các phương pháp tốt nhất để xem xét mã hợp đồng thông minh.

Phải thực hiện giám sát thời gian thực sau khi đã kiểm toán dự án. Các nhà sáng lập nên tập trung vào việc hiểu những gì đang diễn ra với dự án, ai tương tác với các hợp đồng thông minh, ai có thể tấn công dự án và những rủi ro tiếp theo là gì. Trang web của Ancilia thậm chí còn có câu nói nổi tiếng của Tôn Tử: “Biết mình biết người, trăm trận trăm thắng.”

Theo Nicholas Chiu, Giám đốc vận hành của Salus Security, “khi tuyển dụng các nhà phát triển Web3, những nhà sáng lập dự án nên đảm bảo rằng các nhà phát triển tôn trọng bảo mật vì các mã do họ thiết kế sẽ quyết định tính bảo mật của tài sản và thông tin của người dùng”.

Giới thiệu về CertiK

CertiK là một nền tảng bảo mật hàng đầu, phân tích và giám sát các giao thức blockchain và dự án DeFi bằng cách sử dụng xác minh chính thức và công nghệ AI. Đội ngũ đã hỗ trợ các dự án được niêm yết của Binance trong việc xác định các lỗ hổng trong mã hợp đồng thông minh on-chain.

Gần đây, CertiK đã củng cố sản phẩm Skynet của mình với nhiều tính năng hơn để cung cấp Dịch vụ Cảnh báo của CertiK cả on-chain và off-chain. Các tính năng này bao gồm phân tích sự cố chuyên sâu, phân tích tâm lý xã hội và theo dõi tình trạng thanh khoản. 

Web3 là một stack kỹ thuật mới và CertiK đang giải quyết thách thức bằng cách cung cấp các dịch vụ quan trọng về an toàn. Cho đến nay, Web3 đã đạt được tỷ lệ bảo mật hơn 99,9%, bảo đảm cho gần 300 tỷ USD tài sản tiền mã hóa, phục vụ hơn 3.200 khách hàng và thực hiện hơn 250 cuộc kiểm toán hàng tháng.

Giới thiệu về Ancilia 

Ancilia là một nền tảng phát hiện và ngăn chặn mối đe dọa dựa trên hành vi theo thời gian thực. Nền tảng của Ancilia thu thập dữ liệu on-chain và off-chain cũng như cung cấp phân tích chuyên sâu thông qua một công cụ phát hiện mối đe dọa. So với các giải pháp hiện có, nền tảng này có thể bảo vệ các dự án Web3 trong toàn bộ vòng đời dự án.

Một số tính năng chính của nền tảng bao gồm phân tích bảo mật hợp đồng thông minh, phát hiện hoạt động độc hại và bất thường, giám sát và bảo vệ tài sản, giám sát quy trình quản trị, giám sát và đảm bảo chất lượng dữ liệu bên ngoài và ngăn chặn hoạt động độc hại.

Ancilia hiện đang trong giai đoạn thử nghiệm với một nhóm nhỏ, chuyên về bảo mật tài sản thông tin bằng máy học thích ứng, giám sát liên tục, phát hiện vi phạm nhanh chóng và nhiều tính năng khác. 

Giới thiệu về Salus Security 

Salus Security là công ty an ninh mạng blockchain toàn diện, cung cấp các dịch vụ kiểm toán hợp đồng thông minh tự động và kiểm toán thủ công bởi chuyên gia. Salus cung cấp các giải pháp bảo mật blockchain tiên tiến giúp khách hàng dẫn đầu trong các ngành công nghiệp của họ và mở khóa tiềm năng Web3 bằng cách xây dựng niềm tin vào công nghệ và cơ sở hạ tầng.

Salus có thể xử lý các vấn đề bảo mật phức tạp nhất trong ngành dựa trên bề dày kinh nghiệm của mình về cả bảo mật truyền thống và blockchain. Salus đặt mục tiêu cung cấp các dịch vụ bảo mật cho mọi đối tượng để đảm bảo nền kinh tế kỹ thuật số trong tương lai.

Kết luận: Tình trạng bảo mật trong Web3

Trách nhiệm đảm bảo Web3 an toàn thuộc về các công ty tiền mã hóa phục vụ hàng triệu người dùng trên toàn cầu. Các dự án nên sử dụng những nhà cung cấp quản lý tên miền có uy tín và tiến hành kiểm toán hợp đồng thông minh thường xuyên để đảm bảo an ninh tối đa.

Người dùng nên bảo vệ tiền của mình bằng cách không nhấp vào các liên kết đáng ngờ, định kỳ xóa cache DNS và thường xuyên quét các chương trình có hại trên thiết bị:

1. Lưu trữ tất cả các khóa riêng tư một cách an toàn.

2. Không bao giờ sử dụng khay nhớ tạm trên máy tính để sao chép khóa và không bao giờ sao lưu ví của bạn trên bất kỳ phần mềm đám mây nào.

3. Chọn nền tảng uy tín nhất để giảm rủi ro đến từ đối tác. 

4. Đảm bảo hệ điều hành an toàn bằng cách cài đặt các công cụ bảo mật như phần mềm chống vi-rút và chống lừa đảo.

5. Sử dụng ví Burner với số tiền tối thiểu để đào NFT hoặc thực hiện bất kỳ giao dịch nào trên ứng dụng phi tập trung (DApp).