Bảo mật yếu điểm khiến hacker chiếm cả tỷ USD

[june04]

Cầu nối giữa các mạng blockchain đang tồn tại nhiều điểm yếu về bảo mật và thường xuyên bị hacker lợi dụng để chiếm cả tỷ USD.

Theo Bloomberg, vụ hack hơn 600 triệu USD vào mạng blockchain Ronin của Sky Mavis đã nâng tổng số tiền bị tin tặc đánh cắp từ cầu nối chéo (Cross-chain Bridge) trong vòng một năm qua lên hơn một tỷ USD.

Cầu nối trong blockchain là gì?
Cầu nối được hiểu là công cụ cho phép các token được thiết kế trong một chuỗi khối có thể chuyển giao và sử dụng được trên một chuỗi khối khác. Công cụ này giúp loại bỏ hạn chế của một số mạng blockchain lớn như Ethereum vốn có phí giao dịch đắt, hay nghẽn mạng. Ví dụ, Ronin Bridge của Axie Infinity là cầu nối giúp chuyển đổi tài sản qua lại giữa hai mạng Ronin và Ethereum với chi phí rẻ và nhanh chóng.

Có thể hình dung cầu nối giữa các mạng blockchain hiện nay như "con đường tơ lụa" huyền thoại, giúp người dùng ở các mạng blockchain khác nhau dễ dàng trao đổi, mở ra nhiều cơ hội giao thương hơn.

Trong giai đoạn bình minh của thị trường tiền điện tử, cầu nối không cần thiết. Ví dụ 13 năm trước, chỉ có một chuỗi blockchain Bitcoin. Nhưng hiện nay đã có hàng nghìn mạng blockchain. Mỗi mạng lại có những lợi thế riêng như phí giao dịch thấp, hệ sinh thái đa dạng nên việc kết nối giữa các mạng trở nên đặc biệt quan trọng.

Tuy nhiên, những mạng blockchain mới này khó giao tiếp với nhau khiến người dùng không thể sử dụng song song nhiều mạng trên nhiều nền tảng. Để rút ngắn khoảng cách, các nhà phát triển đã xây dựng cầu nối giữa các mạng để người dùng dễ dàng di chuyển dòng tiền. Ngày càng nhiều nhà đầu tư tìm cách nhảy từ chuỗi này sang chuỗi khác để kiếm lợi.

Vì sao cầu nối dễ bị tấn công?

Cầu nối thường dùng hợp đồng thông minh để tự động chuyển đổi tài sản số, token hoặc dữ liệu từ blockchain này sang blockchain khác thông qua quy định xác thực cụ thể của từng mạng. Nếu một cầu nối bị tin tặc tấn công, toàn bộ token của dự án đó có thể trở nên vô giá trị.

Các cầu nối thường bị hacker nhắm đến vì bảo mật còn kém, không yêu cầu KYC (xác minh danh tính) một cách nghiêm ngặt. Ngoài ra, số tiền chảy qua các cầu nối đang ngày một lớn khiến tin tặc sẵn sàng dành nhiều thời gian hơn để nghiên cứu cách thức tấn công vào đó.

Bloomberg dẫn lời Sam Peurifoy, Trưởng bộ phận tương tác của Hivermind Capital: "Theo tôi, hiện tại cầu nối là phần thất bại nhất trong lĩnh vực tiền mã hóa".

Vitalik Buterin, đồng sáng lập Ethereum, cũng cảnh báo về bảo mật của cầu nối trên Reddit hồi tháng 1. Ông cho rằng đây là điểm sáng giúp kết nối đa chuỗi và hữu ích trong tương lai, còn hiện tại vẫn có những giới hạn cơ bản về bảo mật.

Ngoài ra, điểm yếu của cầu nối không chỉ nằm ở việc dễ bị hack, nó còn dễ bị ảnh hưởng bởi các vấn đề phức tạp khác. Năm 2021, cầu nối Optics trên mạng Celo bị "gãy" sau khi nhóm phát triển mất quyền kiểm soát dự án. Việc tìm ra nguyên nhân hoặc ai chịu trách nhiệm cũng không đơn giản vì những người phát triển thường ẩn danh và một số công cụ giúp bảo mật các giao dịch của cầu nối có thể được ẩn đi một cách có chủ đích. Nhiều nhóm phát triển blockchain chỉ dành một lượng nhân sự mỏng cho bảo mật. Việc phát hiện các lỗ hổng có thể mất vài ngày. Như vụ hack vào Ronin, sáu ngày sau cuộc tấn công, Sky Mavis mới thông báo phát hiện vụ trộm.

Người dùng bị ảnh hưởng gì?

Dữ liệu từ Dune Analytics cho thấy khi cầu Ronin bị hack, có hơn 21 tỷ USD bị khóa. Trước đó một tháng, tin tặc cũng đã đánh cắp khoảng 300 triệu USD từ Wormhole - cầu nối Solana với Ethereum. Cùng tháng đó, tin tặc lấy đi 1,9 triệu USD tiền số thông qua cầu Meter Passport.

Theo các nhà phân tích, trong những vụ hack thế này, các quỹ đầu tư không phải nạn nhân lớn nhất mà là những người chơi đang kiếm sống hàng ngày trên ứng dụng. Người dùng nên ý thức được rằng vấn đề bảo mật vẫn là thách thức với các công nghệ mới. May mắn cho người dùng Wormhole là nhà phát triển Jump Crypto đã bù đắp cho những ai bị ảnh hưởng bởi sự cố. Sky Mavis cũng hứa sẽ không để người chơi bị thiệt hại khi mạng Ronin bị tấn công.

Tuy nhiên, những khoản này thường không được đảm bảo và người dùng không nên quá mong đợi. Buterin nhấn mạnh, các cầu nối vốn không an toàn và người dùng nên giữ tài sản gốc của họ trên những blockchain nền tảng được thiết kế với độ an toàn cao. Đổi lại, họ phải chấp nhận hạn chế của nền tảng đó, như phí giao dịch đắt và thường xuyên nghẽn mạng.