Bảo mật Web3
Động thái hướng tới phân cấp và web3, mà nhiều người chưa biết đến, đã đòi hỏi một sự thay đổi mô hình về bảo mật. Các dự án và giao thức có thể đang lưu giữ hàng triệu đô la tài sản kỹ thuật số, tất cả đều có thể truy cập được từ internet.
Những giả định tương tự đã củng cố ngành an ninh mạng trong web2 đơn giản là không còn áp dụng được nữa.
Khó khăn chờ đợi Bảo mật Web3
Nhờ sức trẻ tương đối của ngành, Brian Pak, Giám đốc điều hành của công ty bảo mật web3 ChainLight, nói với CCN rằng, nhờ vào độ tuổi tương đối trẻ của ngành, “khách hàng web3 điều hướng một môi trường năng động và ít dự đoán hơn,” .
Pak lưu ý rằng trong khi công nghệ truyền thống “nhấn mạnh vào bảo mật chu vi, mã hóa dữ liệu và sự tin cậy tập trung”, web3 hoạt động trong một “môi trường năng động và ít dự đoán hơn”. Các phương thức tấn công mới như hack hợp đồng thông minh đòi hỏi “các phương pháp tiếp cận sáng tạo để bảo vệ tài sản và hệ thống phi tập trung”.
Mối quan tâm chính về hợp đồng thông minh bao gồm các cuộc tấn công reentrancy, trong đó một hàm được gọi lặp đi lặp lại từ bên ngoài; hạn chế khí, một kỹ thuật khiến giao dịch không thành công; và phụ thuộc dấu thời gian, có thể dẫn đến rủi ro thao túng. Tất cả các phương pháp khai thác này có thể chưa được chuyên gia an ninh mạng điển hình của bạn biết đến chỉ vài năm trước. Hầu hết những người bên ngoài tiền điện tử vẫn không có nhiều ý tưởng về chúng.
Trong khi các hợp đồng thông minh cho phép trao đổi không cần sự tin cậy bằng cách thực hiện tự động dựa trên các điều kiện được xác định trước, Pak tin rằng “sự không tin cậy có mối quan hệ tỷ lệ nghịch với chi phí từ góc độ của người dùng cuối”. Để cân bằng mọi thứ, các dự án nên xem xét liệu việc tạo ra các hệ thống hoàn toàn không cần sự tin cậy có bắt đầu ảnh hưởng đến mức độ dễ dàng sử dụng của chúng đối với mọi người hay không.
Trên hết, những lỗ hổng trong web3 có thể dễ dàng được phát hiện hơn bởi những người có kỹ năng cần thiết. Pak giải thích: Hệ sinh thái web3 “có xu hướng là nguồn mở và do đó có thể bị giám sát hoặc tấn công từ bất kỳ ai”.
Tin tặc Web3 không tấn công con người mà là các giao thức
Pak giải thích: Theo xu hướng quen thuộc với bất kỳ ai theo dõi chặt chẽ thế giới tiền điện tử, các cá nhân và tổ chức không trực tiếp khuất phục trước các nỗ lực hack. Thay vào đó, họ đang chịu lỗ khi đầu tư vào các giao thức như cầu HECO , Wormhole và Ronin.
Cầu nối chuỗi chéo trong tiền điện tử kết nối các mạng khác nhau, cho phép chuyển tài sản và khả năng tương tác giữa các chuỗi khối. Nhưng thực tế là họ nhận được rất nhiều tiền khiến họ trở thành mục tiêu hàng đầu của tin tặc.
Hơn nữa, các sàn giao dịch lớn như Curve, KyberSwap và CoinEx đã phải chịu những ảnh hưởng tài chính đáng kể trong năm qua. Curve phải đối mặt với khoản lỗ 62 triệu USD, KyberSwap 48 triệu USD và CoinEx 70 triệu USD. Pak cho biết: “Các lỗ hổng có xu hướng bị khai thác ở các khu vực của hệ sinh thái nơi phần lớn khối lượng có xu hướng cư trú”.
Nó sẽ tốt hơn
Pak có lời khuyên nào dành cho hàng loạt dự án web3, nhiều dự án trong số đó nắm giữ tài sản kỹ thuật số trị giá hàng triệu đô la không? Ông nói: “Xây dựng theo cách đảm bảo an ninh theo thiết kế.
“Khi làm như vậy, các dự án có thể giúp đảm bảo chúng không bị trì trệ nhưng cũng không cắt giảm tiến độ.
“Bằng cách thiết kế từng sản phẩm có lưu ý đến tính bảo mật, các nhà phát triển có thể đạt được trạng thái cân bằng tốt nhất của một hệ thống an toàn ngay từ đầu.”
Nhưng mọi thứ đang được cải thiện, CEO của ChainLight cho biết. Nhiều người dùng đang dành thời gian để xem xét kỹ lưỡng các vấn đề bảo mật của dự án và thậm chí kiểm tra xem ai đã thực hiện kiểm tra bảo mật của dự án. Đây là một sự phát triển tích cực, Pak nói.
Rất may cho người dùng, các giao thức đang đầu tư nhiều hơn vào việc giám sát “hậu kiểm toán” để có khả năng phục hồi liên tục. Hai ví dụ đang đầu tư vào giám sát trên chuỗi và thực hiện các thử nghiệm chiến đấu – một bài tập mô phỏng tái tạo một cuộc tấn công trong thế giới thực . Điều này “có thể giúp các đội chuẩn bị cho những tình huống xấu nhất”.
Bài viết này không chứa lời khuyên hoặc khuyến nghị đầu tư của coin4vn . Mọi động thái đầu tư và giao dịch đều tiềm ẩn rủi ro và độc giả nên tự nghiên cứu khi đưa ra quyết định.
