Sau khi trang web của Curve Finance bị tấn công DNS lớn vào đầu tháng này, lo ngại đang gia tăng về những cách thức tinh vi và mới mà tin tặc nhắm vào các công ty tiền điện tử. Từ việc xâm nhập mạng xã hội đến khai thác giao diện người dùng và lỗ hổng hợp đồng thông minh, hệ sinh thái web3 đang đối mặt với mối đe dọa liên tục.
Khi DeFi và tiền điện tử trở nên phổ biến hơn, chúng đang thu hút nhiều ánh mắt xấu xa hơn. Các cuộc tấn công giờ đây gần như không thể tránh khỏi. Vậy, làm thế nào để đạt được sự kháng cự? Michael Egorov, người sáng lập Curve Finance, đã đề cập đến những chủ đề này và nhiều hơn nữa trong một cuộc phỏng vấn độc quyền với BeInCrypto.
Curve Finance phản hồi về vụ hack
Vụ trộm lớn nhất trong lịch sử tiền điện tử đã xảy ra trong năm nay, và đó không phải là một sự cố đơn lẻ. Các cuộc tấn công tinh vi vào hệ sinh thái DeFi đang gia tăng, với lừa đảo nội bộ tại Coinbase, khai thác ở cấp độ giao thức tại zkSync, và một cuộc tấn công DNS lớn tại Curve Finance.
Egorov đã thảo luận về những lỗ hổng cấu trúc của ngành công nghiệp Web3 và cách đối phó với thời điểm này.
“Các vấn đề bảo mật web truyền thống không thực sự là điều mới mẻ. Vấn đề là, trong thế giới Web2, thiệt hại từ những vấn đề này thường có thể kiểm soát được, vì vậy đây không phải là một vấn đề lớn. Tuy nhiên, trong tiền điện tử, các giao dịch trở nên cuối cùng gần như ngay lập tức. Do đó, tiêu chuẩn bảo mật cho lĩnh vực này cao hơn nhiều, và cơ sở hạ tầng internet hiện nay không được xây dựng để đáp ứng những yêu cầu này,” ông tuyên bố.
Curve Finance, một sàn giao dịch phi tập trung lớn, có nền tảng mạnh mẽ trong việc thảo luận về các lỗ hổng của DeFi. Trong suốt lịch sử dài của mình, Curve đã đối mặt và quản lý các sự cố bảo mật nghiêm trọng trong nhiều dịp, buộc công ty phải liên tục điều chỉnh cách tiếp cận bảo mật của mình.
Tuy nhiên, đầu tháng này, trang web của sàn giao dịch đã trở thành mục tiêu mới nhất. Cuối cùng, DEX đã phải thay đổi tên miền chính thức của mình. Theo quan điểm của Egorov, vấn đề cuối cùng là do bản chất của internet như chúng ta biết.
“Theo tôi thấy, không có gì mà chúng tôi có thể làm tốt hơn về mặt công nghệ. Vấn đề lần này là bên ngoài. Theo ý kiến của tôi, có một vấn đề cơ bản với cách xây dựng các ứng dụng web. Chúng ta cần các ứng dụng máy tính để bàn an toàn được xây dựng từ đầu với sự an toàn là ưu tiên,” Egorov tuyên bố.
Cụ thể, ông chỉ ra một vài lỗ hổng cấu trúc đã tạo điều kiện cho cuộc tấn công vào Curve và các vụ tấn công gần đây khác. Các ứng dụng Web3 vẫn phải tương tác với một trang web tĩnh nào đó, sử dụng các nhà đăng ký DNS để kết nối tên miền trang web với máy chủ giao diện người dùng.
Nếu kẻ tấn công lừa đảo, chiếm đoạt hoặc hối lộ các máy chủ này, nó mở ra một con đường tấn công rất hiệu quả, một chiến thuật đã được sử dụng gần đây trên Curve.
Đó chỉ là một trong số nhiều vấn đề cấu trúc với cơ sở hạ tầng Internet ‘Web2’ hiện nay. Ví dụ, các trang web phụ thuộc vào hàng ngàn gói JavaScript nhỏ, rất khó để kiểm tra từng cái một.
Các gói bị xâm nhập có thể lén lút và hiệu quả vượt qua bảo mật của một giao thức DeFi theo nhiều cách khác nhau. Tất cả điều đó có nghĩa là, Web3 dễ bị tấn công bởi nhiều cuộc tấn công từ Web2.
Vấn đề Web3 cần giải pháp mới hơn
Egorov tuyên bố rằng ngành công nghiệp tiền điện tử sẽ cần thực hiện những thay đổi cấu trúc lớn để giải quyết vĩnh viễn những vấn đề này. Ví dụ, ông đề cập đến Ethereum Name Service (ENS) như một cách tiếp cận gốc blockchain để tránh các cuộc tấn công DNS.
Nếu được áp dụng, ENS sẽ hiệu quả, nhưng nó không có đủ sự hỗ trợ ở cấp trình duyệt để trở thành xu hướng chính.
Ngay cả khi Curve có được sự đồng thuận từ các tổ chức để ngăn chặn các cuộc tấn công với các biện pháp bảo mật dựa trên Web3 hơn, hệ sinh thái mới có thể sẽ không còn quen thuộc với chúng ta.
Ví dụ, Egorov đề cập rằng toàn bộ cấu trúc kiếm tiền từ lưu lượng truy cập web sẽ phải thay đổi. Thay vào đó, các bên lớn sẽ phải chịu chi phí bảo trì, điều này sẽ được khuyến khích bởi sự gia tăng bảo mật.
“Xây dựng một ứng dụng như vậy sẽ rất nhiều công việc — nó sẽ cần phải tái triển khai các giao diện DeFi, tránh hoàn toàn các công nghệ web và có thể không có khả năng kiếm tiền. Nhưng tôi tin rằng có một nhu cầu mạnh mẽ cho nó, đặc biệt là từ các tổ chức xử lý số tiền lớn của người dùng,” ông lưu ý.
Những giải pháp này chắc chắn là cấp tiến, nhưng Egorov nhấn mạnh rằng những vấn đề này là xã hội, không phải công nghệ. Ông chỉ đề xuất các biện pháp bảo mật có thể xây dựng bằng cách sử dụng nghiên cứu blockchain hiện có, nhưng chúng sẽ đủ.
Nói cách khác, nếu tốc độ của các cuộc tấn công lớn tiếp tục gia tăng, nó có thể tạo ra nhiều sự nhiệt tình hơn cho những cải cách này. Curve Finance sẵn sàng xây dựng một tương lai Web3 không có những lỗ hổng này.
Nhưng khi các mối đe dọa bảo mật hiện tại vẫn tiếp diễn, lời khuyên của Egorov cho DeFi là xây dựng nhiều ứng dụng máy tính để bàn chuyên dụng hơn.
“Như tôi đã đề cập trước đó, mô hình hiện tại của việc xây dựng các ứng dụng giao diện người dùng là quá không an toàn và có một bề mặt tấn công rất lớn. Để đạt được mức độ bảo mật tốt hơn, các tương tác DeFi nên chuyển sang các ứng dụng máy tính để bàn chuyên dụng,” người sáng lập Curve kết luận.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
