Phần lớn bảo mật web3 phụ thuộc vào khả năng đặc biệt của blockchain trong việc thực hiện các cam kết và khả năng chống lại sự can thiệp của con người. Nhưng tính năng liên quan đến finality – nơi mà các giao dịch nhìn chung là không thể đảo ngược – khiến các mạng do phần mềm kiểm soát này trở thành mục tiêu hấp dẫn cho những kẻ tấn công. Thật vậy, khi các blockchain – các mạng máy tính phân tán đồng thời là nền tảng của web3 – và các công nghệ và ứng dụng đi kèm của chúng tích lũy giá trị, chúng ngày càng trở thành mục tiêu mà các kẻ gian thèm muốn.
Bất chấp sự khác biệt của web3 so với các phiên bản trước của Internet, các tác giả đã quan sát thấy những điểm tương đồng với các xu hướng bảo mật phần mềm trước đó. Trong nhiều vụ, những vấn đề lớn nhất thường giống nhau và không thay đổi. Những đối tượng cần phòng vệ – cho dù là người xây dựng, đội bảo mật hay người dùng tiền điện tử hàng ngày – có thể tự bảo vệ bản thân, dự án và ví của họ tốt hơn khỏi bọn trộm bằng cách nghiên cứu những lĩnh vực này. Dưới đây là một số hình thức tấn công phổ biến và dự đoán dựa trên kinh nghiệm của bản thân người viết.
- Theo dõi lượng tiền
- Những kẻ tấn công thường nhằm mục đích tối đa hóa lợi tức đầu tư. Chúng có thể dành nhiều thời gian và nỗ lực hơn để tấn công các giao thức có TVL cao hơn, vì giá trị tài sản lấy được sẽ lớn hơn.
- Các nhóm hacker có nguồn lực tốt nhất sẽ thường xuyên nhắm vào các hệ thống có giá trị cao. Khai thác tiểu thuyết, Kiểu tấn công thu được lợi nhuận nhiều nhất là khai thác novel, cũng thường được nhắm vào những mục tiêu béo bở này.
- Các cuộc tấn công chi phí thấp – chẳng hạn như chiêu lừa đảo – sẽ không bao giờ biến mất và được dự cảm sẽ trở nên phổ biến hơn trong tương lai gần.
- Vá các lỗ hổng
- Sau khi các nhà phát triển tham khảo từ các cuộc tấn công đã được kiểm chứng, họ có thể cải thiện trạng thái của phần mềm web3 đến mức độ "mặc định bảo mật cao". Thông thường, chế độ này bao gồm thắt chặt các giao diện lập trình ứng dụng hoặc API, nhằm giúp hạn chế sinh ra các lỗ hổng bảo mật hơn trong quá trình sử dụng.
- Bảo mật là vấn đề phải theo dõi và giám sát xuyên suốt cũng như không tồn tại khái niệm chống hack hoàn toàn, cho nên những người bảo vệ và nhà phát triển có thể khiến các cuộc tấn công trở nên kém hấp dẫn nhất có thể bằng cách giảm thiểu khai thác.
- Khi các phương pháp bảo mật được cải thiện cùng với công cụ hoàn thiện, khả năng thành công của các cuộc tấn công sau có thể giảm đáng kể: các cuộc tấn công quản trị, thao túng giá cả và lỗ hổng Reentrancy.
- Các nền tảng không có khả năng đảm bảo bảo mật tuyệt đối sẽ phải sử dụng các nỗ lực giảm thiểu khai thác để giảm khả năng xảy ra tổn thất. Điều này có thể ngăn chặn những kẻ tấn công bằng cách làm giảm “lợi ích” hoặc thâm hụt một phần so với phân tích chi phí-lợi nhuận của kẻ gian.
- Phân loại các cuộc tấn công
- Các cuộc tấn công vào các hệ thống khác nhau có thể được phân loại dựa trên các đặc điểm chung của chúng. Các đặc điểm để xác định bao gồm mức độ phức tạp, mức độ tự động hóa và những biện pháp phòng ngừa có thể áp dụng để chống lại các cuộc tấn công.
- Dưới đây là danh sách còn đang cập nhật về các kiểu tấn công được thu thập trong các vụ hack lớn nhất trong năm qua. Tác giả cũng đã bao gồm các quan sát cá nhân về bối cảnh mối đe dọa ngày nay và vị thế mà bảo mật web3 được mong đợi sẽ phát triển trong tương lai.
APT: những kẻ săn mồi hàng đầu
Đây là phe sở hữu trình độ lão luyện, thường được gọi là Các mối đe dọa dai dẳng cấp cao (Advanced Persistent Threats – APT), được mệnh danh như những "ông kẹ" đối với lĩnh vực bảo mật. Động lực và khả năng của những kẻ tấn công dạng này rất khác nhau, nhưng thường khá vững chắc và kiên trì; và cũng chưa từng có cách xóa sổ triệt để. Các APT khác nhau thực hiện nhiều loại hoạt động khác nhau, nhưng xu hướng thường thấy là tấn công trực tiếp vào network layer của các công ty để thực hiện mục tiêu của họ.
Một số nhóm tấn công chuyên nghiệp được biết là đang tích cực nhắm mục tiêu vào các dự án web3, và khả năng là còn những nhóm chưa xác định khác . Những người đứng sau các vụ APT đáng quan ngại nhất có xu hướng sống ở những nơi không có hiệp ước dẫn độ với Mỹ và châu Âu, khiến họ khó bị truy tố. Một trong những vụ APT nổi tiếng nhất là bởi Lazarus, một nhóm Bắc Triều Tiên mà gần đây FBI cho biết đã tiến hành vụ hack crypto lớn nhất từ trước đến nay.
- Ví dụ
- Vụ hack Ronin validator
- Hồ sơ
- Nghi phạm: Các quốc gia, các tổ chức tội phạm được tài trợ mạnh tay và các nhóm có tổ chức tiên tiến khác. Ví dụ như hacker Ronin (Lazarus, có liên kết với Triều Tiên).
- Độ tinh vi: Cao (chỉ dành cho các nhóm có nguồn lực cao, thường là ở các quốc gia không truy tố).
- Khả năng tự động hóa: Thấp (chủ yếu thực hiện thủ công với một số công cụ kèm theo)
- Dự đoán trong tương lai: Các APT sẽ vẫn hoạt động miễn là họ có thể kiếm tiền từ các hoạt động của mình hoặc đạt được các mục đích chính trị.
Tấn công giả mạo nhắm vào user: các kỹ sư xã hội
Tấn công giả mạo (phishing) là một vấn đề phổ biến và được biết đến rộng rãi. Những kẻ lừa đảo này cố gắng gài bẫy con mồi của họ bằng cách gửi tin nhắn mồi chài qua nhiều kênh khác nhau, bao gồm tin nhắn, email, Twitter, Telegram, Discord và các trang web đã bị hack. Chỉ cần lọc qua mục thư spam trên email của mình, bạn có thể sẽ thấy hàng trăm thể loại mail dụ dỗ tiết lộ thông tin cá nhân như mật khẩu hoặc cố ăn cắp tiền của bạn.
Giờ đây, web3 cho phép mọi người trực tiếp giao dịch tài sản, chẳng hạn như token hoặc NFT, với finality gần như hoàn thành ngay lập tức, thì các âm mưu phishing này đang nhắm mục tiêu vào người dùng của nó. Đây là cách dễ nhất để những người có ít kiến thức hoặc chuyên môn kỹ thuật kiếm tiền từ việc đánh cắp tiền điện tử. Mặc dù vậy, chúng vẫn là một phương pháp hữu dụng cho các băng nhóm có tổ chức để theo đuổi các mục tiêu có giá trị, hoặc dành cho các nhóm nâng cao thực hiện các cuộc tấn công lấy tiền trên diện rộng, ví dụ như chiếm đoạt trang web.
- Ví dụ
- Chiến dịch lừa đảo OpenSea nhắm mục tiêu trực tiếp đến người dùng
- Vụ tấn công phishing BadgerDAO mà được biết nguyên nhân là do một ứng dụng
- Hồ sơ
- Nghi phạm: Bất kỳ ai, từ những hacker tay ngang đến các nhóm có tổ chức.
- Độ tinh vi: Mức độ trung bình thấp (có thể mang tính "hên xui may rủi" hoặc nhắn mục tiêu cực chuẩn tùy thuộc vào nỗ lực của những kẻ tấn công).
- Khả năng tự động hóa: Trung bình-Cao (hầu hết quá trình có thể được tự động hóa).
- Dự đoán trong tương lai: Phishing thường không tốn kém và phisher có xu hướng thích nghi và cập nhật thường xuyên, vì vậy tỷ lệ các cuộc tấn công như thế này được dự đoán sẽ tăng trong tương lai. Khả năng phòng vệ của người dùng có thể được cải thiện thông qua việc nâng cao hiểu biết và nhận thức, trau dồi khả năng chọn lọc, cải thiện biểu ngữ cảnh báo và kiểm soát ví tốt hơn.
Lỗ hổng chuỗi cung ứng: các liên kết yếu nhất
Khi các nhà sản xuất ô tô phát hiện ra các bộ phận bị lỗi trong xe, họ sẽ ban hành lệnh thu hồi; đối với chuỗi cung ứng phần mềm cũng hệt như thế.
Thư viện phần mềm của bên thứ ba thường có phạm vi tấn công lớn. Điều này từ lâu đã là một thách thức bảo mật trên các hệ thống có trước web3, chẳng hạn như với vụ khai thác log4j vào tháng 12 năm ngoái đã ảnh hưởng đến phần mềm máy chủ web trên diện rộng. Những kẻ tấn công sẽ quét internet để tìm các lỗ hổng đã được công khai để tìm và khai thác từ các lỗ hổng chưa được giải quyết.
Code đã nhập có thể không được viết bởi nhóm kỹ sư của riêng bạn, nhưng vẫn rất cần bảo trì code này. Các nhóm phải giám sát các bộ phận cấu thành phần mềm của họ để tìm các lỗ hổng, đảm bảo các bản cập nhật được triển khai và luôn cập nhật về động lực và tình trạng của các dự án mà họ phụ thuộc vào. Chi phí thực tế và tức thời của việc khai thác các lỗ hổng phần mềm web3 tạo ra thách thức đối với việc truyền đạt những vấn đề này một cách có trách nhiệm cho người dùng thư viện. Vẫn chưa có kết luận cuối cùng về cách thức hoặc vị trí để các nhóm giao tiếp với nhau về vấn đề này mà không vô tình khiến cho tiền của người dùng gặp rủi ro.
- Ví dụ
- Vụ hack Wormhole bridge
- Vụ hack làm lộ lỗ hổng của Multichain
- Hồ sơ
- Nghi phạm: Các nhóm có tổ chức như APT, hacker cá nhân và người thuộc nội bộ.
- Độ tinh vi: Vừa phải (cần có kỹ thuật và thời gian).
- Khả năng tự động hóa: Trung bình (việc quét để tìm các thành phần phần mềm bị lỗi có thể được tự động hóa; nhưng khi phát hiện ra các lỗ hổng mới, việc khai thác cần thực hiện theo cách thủ công).
- Dự đoán trong tương lai: Các lỗ hổng trong chuỗi cung ứng có khả năng xuất hiện nhiều hơn khi có thêm nhiều sự phụ thuộc lẫn nhau và gia tăng độ phức tạp của các hệ thống phần mềm. Việc hack ăn may cũng có thể sẽ tăng lên cho đến khi các phương pháp tiết lộ lỗ hổng bảo mật đủ tốt và đủ tiêu chuẩn bảo mật web3 được sản xuất nhiều hơn.
Tấn công quản trị: trộm cắp dựa vào bầu cử
Đây là vấn đề cụ thể về tiền điện tử đầu tiên xuất hiện. Nhiều dự án trong web3 có bao gồm khía cạnh quản trị, trong đó người nắm giữ token có thể đưa ra và bỏ phiếu cho các đề xuất thay đổi mạng lưới. Mặc dù điều này tạo cơ hội cho sự phát triển và cải tiến liên tục, nhưng nó cũng mở cửa hậu cho các đề xuất độc hại có khả năng làm hỏng mạng lưới nếu được thông qua.
Những kẻ tấn công đã nghĩ ra các phương pháp mới để phá vỡ kiểm soát, gây cản trở khả năng lãnh đạo của đội chỉ huy và cướp phá tài sản chung. Từng là một mối quan ngại trên mặt lý thuyết, các cuộc tấn công quản trị giờ đây đã diễn ra trên thực tế theo diện rộng. Những kẻ tấn công có thể thực hiện các "khoản vay nhanh" lớn để xoay vòng phiếu bầu, như gần đây đã xảy ra với dự án tài chính phi tập trung Beanstalk, hay gọi tắt là DeFi. Các đề xuất sẽ được thực hiện tự động từ các phiếu bầu, từ đó giúp tiếp tay cho những kẻ tấn công có thể khai thác dễ dàng; trong khi đó, nếu việc ban hành đề xuất bị chậm trễ về thời gian hoặc yêu cầu phải đăng nhập thủ công từ nhiều bên (ví dụ: thông qua ví nhiều ký tự), thì có thể khó tấn công hơn.
- Ví dụ
- Vụ bòn rút quỹ của Beanstalk
- Hồ sơ
- Nghi phạm: Bất kỳ ai từ các nhóm có tổ chức (APT) đến hacker cá nhân.
- Độ phức tạp: Từ thấp đến cao, tùy thuộc vào giao thức. (Nhiều dự án có các diễn đàn, cộng đồng hoạt động trên Twitter và Discord, và bảng điều khiển ủy quyền có thể dễ dàng tiết lộ nhiều nỗ lực tấn công ở mức nghiệp dư.)
- Khả năng tự động hóa: Từ thấp đến cao, tùy thuộc vào giao thức.
- Dự kiến trong tương lai: Những cuộc tấn công này phụ thuộc nhiều vào công cụ và tiêu chuẩn quản trị, đặc biệt là vì chúng liên quan đến giám sát và quá trình ban hành đề xuất.
Tiên đoán định giá: kẻ thao túng thị trường
Rất khó để có thể định giá tài sản một cách chính xác. Trong lĩnh vực giao dịch truyền thống, việc đẩy giá hoặc giảm giá một cách giả tạo thông qua thao túng thị trường là bất hợp pháp và chịu phạt hay bị bắt là chuyện hoàn toàn có thể xảy ra. Vấn đề này đã quá rõ ràng trong DeFi, khi nó cho phép bất kì ai có khả năng “giao dịch chớp nhoáng” hàng trăm triệu hoặc hàng tỷ đô la, gây ra biến động giá đột ngột.
Nhiều dự án web3 dựa vào “oracles” – hệ thống cung cấp dữ liệu thời gian thực và là nguồn cung cấp các thông tin không thể tìm thấy trên chuỗi. Ví dụ, oracles thường được sử dụng để xác định giá trao đổi giữa hai tài sản. Thế nhưng những kẻ tấn công đã tìm mọi cách để can thiệp vào những nguồn mang độ tin cậy tương đối cao này.
Khi quá trình tiêu chuẩn hóa các oracles ngày càng tiến triển, sẽ có các bridge an toàn hơn cả off-chain lẫn on-chain và chúng ta có thể mong đợi việc thị trường trở nên linh hoạt hơn trước các nỗ lực thao túng. Nếu may mắn, một ngày nào đó lớp tấn công này có thể sẽ gần như biến mất hoàn toàn.
- Ví dụ
- Vụ thao túng thị trường của Cream
- Hồ sơ
- Nghi phạm: Các nhóm có tổ chức (APT), hacker cá nhân và người thuộc nội bộ.
- Độ tinh vi: Vừa phải (cần có kiến thức kỹ thuật).
- Khả năng tự động hóa: Cao (hầu hết các cuộc tấn công liên quan đến việc cơ chế tự động hóa phát hiện một vấn đề có thể khai thác).
- Dự đoán trong tương lai: Có khả năng giảm khi các phương pháp định giá chính xác mang tính tiêu chuẩn hơn.
Lỗ hổng chưa thể xác định: vẫn còn là ẩn số
Loại hình này còn được gọi là "Zero-day" vì chúng đã được biết đến rộng rãi trong chưa đầy 1 ngày tại thời điểm xuất hiện – nhanh chóng trở thành một vấn đề nóng bỏng trong lĩnh vực bảo mật thông tin và bảo mật web3. Bởi vì chúng thường xuất hiện một cách đột ngột nên cũng khó chống nhất.
Web3 đã giúp cho việc kiếm lợi nhuận từ các cuộc tấn công tốn kém và tốn nhiều công sức này trở nên dễ dàng hơn vì tiền điện tử một khi đã bị đánh cắp thì rất khó để lấy lại. Những kẻ xấu này có thể dành nhiều thời gian để nghiền ngẫm code khởi chạy các ứng dụng trên chuỗi để có thể tìm ra một lỗi đủ để đền đáp tất cả công sức của chúng. Trong khi đó, một số lỗ hổng đã từng là mới lạ và chưa xác định lại tiếp tục gây ra cản trở cho các dự án tưởng chừng như an toàn; lỗi re-entrancy đã đánh sập TheDAO, một công ty khởi nghiệp thuộc Ethereum thời kỳ đầu, đang tiếp tục xuất hiện ở những nơi khác.
Chưa rõ liệu ngành này có thể thích ứng với các loại lỗ hổng kể trên nhanh chóng hay dễ dàng như thế nào, nhưng việc tiếp tục đầu tư vào các biện pháp bảo vệ an ninh như kiểm tra, giám sát và dùng công cụ sẽ làm tăng chi phí cho các vụ khai thác.
- Ví dụ
- Lỗ hổng giao dịch cross-chain của Poly
- Lỗi mint token không giới hạn của Qubit
- Hồ sơ
- Nghi phạm: Các nhóm có tổ chức (APT), hacker cá nhân (ít khả năng hơn) và người thuộc nội bộ.
- Độ phức tạp: Trung bình-Cao (yêu cầu kiến thức kỹ thuật, nhưng không phải lỗ hổng bảo mật nào cũng quá phức tạp).
- Khả năng tự động hóa: Thấp (việc tìm kiếm các lỗ hổng bảo mật mới cần nhiều thời gian và công sức và không có khả năng tự động hóa; khi đã tìm thấy, việc quét các vấn đề tương tự trên các hệ thống khác sẽ dễ dàng hơn).
- Dự đoán trong tương lai: Sự chú ý nhiều hơn sẽ thu hút nhiều hacker mũ trắng và giúp giảm số lượng các vụ tấn công nhờ việc phát hiện ra các lỗ hổng mới. Tuy nhiên, khi web3 ngày càng đi vào đời sống, các hacker mũ đen cũng sẽ có nhiều động lực tìm kiếm các cách khai thác mới. Đây có thể vẫn sẽ là một trò chơi cút bắt không hồi kết tương tự như hiện trạng của nhiều lĩnh vực an ninh khác.
