Trong bộ phim "Kẻ Địch Quốc Gia", có một câu nói như thế này: "Ai sẽ giám sát những người giám sát những người khác?" Khi hệ sinh thái Web3.0 ngày càng hoàn thiện, ngày càng nhiều vốn đổ vào ngành công nghiệp crypto, đồng thời, các hacker có thể trực tiếp thu lợi bằng cách tấn công các lỗ hổng trên chuỗi. Ngược lại, khi bị tấn công, các dự án thường chẳng có nhiều biện pháp ứng phó, đôi khi chỉ có thể cung cấp phần thưởng để thu hút hacker hoàn trả lợi bất chính, mà không truy cứu trách nhiệm.
Do đó, một số công ty an ninh liên quan đã ra đời, ngoài việc kiểm tra mã an toàn, đôi khi họ còn được gọi là "Mũ trắng", chủ động khai thác các lỗ hổng bảo mật. CertiK chính là một trong những công ty hàng đầu, với mức định giá gần 2 tỷ USD. Việc được CertiK kiểm toán thậm chí trở thành tiêu chí để cộng đồng đánh giá một dự án mới nổi. Tuy nhiên, quay lại câu hỏi ban đầu: Ai sẽ giám sát những người giám sát? Điều này cũng đặt ra những tranh cãi xung quanh CertiK sau này.
Vào tháng 6 năm nay, CertiK đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên sàn giao dịch crypto Kraken tại Mỹ, điều này đã gây ra một cuộc tranh cãi. Về những tranh cãi mà CertiK đối mặt, cũng như vấn đề các công ty an ninh tự kiểm soát như thế nào, DeThings đã phỏng vấn Giáo sư Cố Vinh Huy, đồng sáng lập CertiK.
DeThings: Ông có phản hồi gì về vụ việc với Kraken?
Giáo sư Cố Vinh Huy: Liên quan đến tranh cãi với Kraken, nguyên nhân là khi đội nghiên cứu của CertiK đang tiến hành nghiên cứu an ninh với mũ trắng, họ đã phát hiện ra một lỗ hổng bảo mật cấp nghiêm trọng trên nền tảng Kraken. Chúng tôi đã nhanh chóng thông báo cho Kraken về phát hiện này để họ kịp thời khắc phục lỗ hổng. Tuy nhiên, trong quá trình trao đổi, đã xảy ra một số vấn đề, dẫn đến một cuộc tranh cãi. Chúng tôi đã đăng một thông báo chi tiết trên trang web chính thức, để mọi người có thể tìm hiểu thêm thông tin.
DeThings: Ông nhìn nhận thế nào về cụm từ "Mũ trắng"?
Giáo sư Cố Vinh Huy: Mặc dù "Mũ trắng" chưa có định nghĩa thống nhất, nhưng nói chung, chúng tôi cho rằng hành động của Mũ trắng là truy cập vào máy tính với mục đích thiện chí để kiểm tra, điều tra và/hoặc sửa chữa các lỗ hổng hoặc khuyết điểm bảo mật. Các hoạt động này được thực hiện theo cách không gây thiệt hại cho cá nhân hoặc công chúng, và thông tin thu được chủ yếu được sử dụng để nâng cao an ninh của các thiết bị, máy móc hoặc dịch vụ trực tuyến liên quan, hoặc bảo vệ những người sử dụng các thiết bị, máy móc hoặc dịch vụ trực tuyến đó.
Bên trong CertiK cũng có một bộ quy tắc Mũ trắng nghiêm ngặt, và từ năm 2020 đến nay, chúng tôi đã thực hiện hơn 70 hoạt động Mũ trắng, trong đó nhận được phần thưởng lỗ hổng cao nhất hiện tại của Sui nhờ phát hiện ra các lỗ hổng quan trọng. Đồng thời, kết hợp với công việc kiểm toán của chính mình, CertiK đã báo cáo hơn 4.000 sự cố an ninh cho cộng đồng Web3.0, phát hiện tổng cộng hơn 115.000 lỗ hổng mã, bảo vệ hơn 360 tỷ USD tài sản kỹ thuật số khỏi những tổn thất tiềm ẩn.
DeThings: Ông đánh giá như thế nào về lĩnh vực mà công ty đang hoạt động, và những trọng tâm trong tương lai của lĩnh vực an ninh là gì?
Giáo sư Cố Vinh Huy: Hiện tại, lĩnh vực an ninh blockchain đang phát triển nhanh chóng, đặc biệt là quản lý rủi ro an ninh tại điểm giao nhau giữa Web3.0 và Web2.0 đang trở thành tâm điểm của ngành. Khi ứng dụng blockchain được mở rộng, các lỗ hổng bảo mật và phương thức tấn công cũng không ngừng nâng cấp, ảnh hưởng đến nhiều lĩnh vực như DeFi, NFT và khả năng tương tác liên chuỗi.
Hiện nay, áp lực an ninh của Web3.0 không chỉ đến từ các lỗ hổng kỹ thuật của dự án, mà còn từ một số rủi ro an ninh mạng phổ biến, chẳng hạn như bảo vệ dữ liệu riêng tư, cảnh giác với các cuộc tấn công lừa đảo, và các vụ lừa đảo viễn thông thông thường.
Đến nay, bảo mật private key vẫn là một trong những thách thức chính mà Web3.0 đang phải đối mặt. Theo số liệu thống kê của CertiK năm 2023, các khoản tổn thất tài chính do lộ private key chiếm gần một nửa tổng số tổn thất của tất cả các sự cố an ninh blockchain.
Báo cáo an ninh quý III năm 2024 sắp được CertiK công bố sẽ tiết lộ thêm rằng, rò rỉ private key và các cuộc tấn công lừa đảo vẫn là nguyên nhân gây ra những tổn thất tài chính nghiêm trọng nhất trong quý này. Những số liệu này cho thấy việc tăng cường quản lý private key, áp dụng các công nghệ như chữ ký đa chủ thể và tính toán đa phương là cấp bách.
Hơn nữa, khi Web3.0 phát triển nhanh chóng, nhiều ứng dụng Web3.0 phụ thuộc vào cơ sở hạ tầng Web2.0, chẳng hạn như lưu trữ đám mây và dịch vụ DNS, dễ bị ảnh hưởng bởi các phương thức tấn công đặc trưng của Web2.0 (như chiếm quyền kiểm soát DNS, lừa đảo). Những cuộc tấn công kết hợp này làm tăng thêm độ phức tạp trong quản lý an ninh.
Tóm lại, chúng tôi cho rằng những trọng tâm trong tương lai của lĩnh vực an ninh blockchain bao gồm:
1. Để tránh phụ thuộc vào cơ sở hạ tầng Web2.0, Web3.0 cần phải nhanh chóng xây dựng và phổ biến cơ sở hạ tầng phi tập trung, đặc biệt là trong lĩnh vực xác thực danh tính, lưu trữ dữ liệu và hệ thống quản trị. Điều này sẽ giúp giảm thiểu sự xâm nhập của các cuộc tấn công tập trung vào các nền tảng phi tập trung. CertiK cũng sẽ nỗ lực hỗ trợ kỹ thuật cho sự kết nối an ninh giữa Web2.0 và Web3.0, đồng thời thông qua CertiK Ventures, hỗ trợ và nuôi dưỡng các dự án tiềm năng liên quan, để mang lại sức mạnh mới cho hệ sinh thái an ninh Web3.0.
2. Các cuộc tấn công lừa đảo đang trở nên ngày càng phức tạp, đặc biệt là khi các công cụ lừa đảo được thúc đẩy bởi trí tuệ nhân tạo, khiến chúng trở nên khó phòng ngừa hơn. Trong tương lai, cần đầu tư nhiều hơn vào các cơ chế bảo vệ thông minh và giáo dục an ninh cho người dùng, để đảm bảo người dùng có thể nhận diện và tránh các rủi ro.
CertiK tiếp tục nỗ lực giúp các thành viên Web3.0 tăng cường các biện pháp phòng ngừa và nâng cao nhận thức an ninh, do đó đã ra mắt các công cụ an ninh như Token Scan và Wallet Scan, miễn phí cho cộng đồng; đồng thời thông qua CertiK Quest, giúp người dùng hiểu rõ hơn về các dự án và thu nhận kiến thức an ninh.
DeThings: Với tư cách là "người giám sát" ở một mức độ nào đó, làm thế nào để bảo đảm chính mình cũng được giám sát?
Giáo sư Cố Vinh Huy: Với tư cách là "người giám sát" trong lĩnh vực blockchain, chúng tôi cũng cần phải nâng cao tính minh bạch của mình để đáp ứng lòng tin của người dùng. Chúng tôi mong muốn sử dụng phương thức phi tập trung để giám sát các công ty an ninh Web3.0: CertiK đã dẫn đầu ngành bằng cách công khai hoàn toàn các báo cáo kiểm toán của mình.
Cho phép người dùng cộng đồng, các tổ chức an ninh và các cá nhân Mũ trắng từ các lĩnh vực khác nhau xem xét các báo cáo kiểm toán của chúng tôi và giám sát công việc của chúng tôi. Trên nền tảng CertiK Skynet, bất kỳ ai cũng có thể truy cập vào các báo cáo kiểm toán của CertiK và phản hồi trực tiếp với CertiK nếu phát hiện bất kỳ vấn đề nào.
Ngoài ra, CertiK nghiêm túc tuân thủ các tiêu chuẩn quản lý Web3.0 trên toàn cầu và chấp nhận sự xác minh và giám sát của bên thứ ba. CertiK là công ty kiểm toán an ninh Web3.0 có được nhiều chứng nhận an toàn dữ liệu nhất, chúng tôi thực hiện các biện pháp an ninh nghiêm ngặt để đảm bảo an toàn tối đa cho dữ liệu của khách hàng và hệ thống của chúng tôi.
Điều này không chỉ thể hiện cam kết của chúng tôi với sứ mệnh "lợi ích của khách hàng là ưu tiên hàng đầu", mà còn thể hiện quyết tâm bảo vệ an toàn tài sản của người dùng. Chúng tôi tin rằng, thông qua việc chấp nhận giám sát của cộng đồng Web3.0 và tuân thủ các yêu cầu quản lý của quốc gia, đây là chìa khóa để đảm bảo tính minh bạch và trách nhiệm giải trình của các
DeThings: Hiện nay, những điểm đau của lĩnh vực này là gì và làm thế nào để giải quyết?
Giáo sư Gu Ronghui:Cùng với sự tiến bộ của các công nghệ và sự nổi lên của công nghệ Bằng chứng không tri thức (ZK), độ phức tạp về mặt kỹ thuật của an ninh Web3.0 đã tăng lên đáng kể. CertiK hợp tác với zkWasm, thành công hoàn thành việc xác minh chính thức toàn diện đối với zkWasm, đây là lần đầu tiên trong toàn ngành và cũng là nỗ lực duy nhất hiện tại. Chúng tôi tin rằng phương pháp xác minh toàn diện này sẽ trở thành thực tiễn tiêu chuẩn của ngành trong tương lai. Hiện tại, các công nghệ liên quan đang được viết thành bài báo, dự kiến sau khi công bố, các công nghệ này sẽ có tác động sâu rộng hơn đến ngành. Trước thách thức do sự tiến bộ của các công nghệ, các nhóm kiểm toán cá nhân hoặc nhỏ truyền thống có thể khó cung cấp đủ hỗ trợ. CertiK sẽ tiếp tục thúc đẩy xác minh hình thức, trong tương lai dự định cung cấp dịch vụ xác minh hình thức an ninh của các giao thức đồng thuận, để đáp ứng những thay đổi này.
Sự cần thiết của kiểm toán an ninh đã trở thành sự đồng thuận trong ngành, nhưng ngành vẫn chưa có câu trả lời rõ ràng về mức độ đầu tư vào an ninh nên đạt đến mức nào. Ví dụ, một dự án có thể chỉ gửi một phần mã để kiểm toán, nhưng một khi xảy ra rủi ro, những rủi ro này có thể không nằm trong phạm vi kiểm toán của chúng tôi. An ninh mã chỉ là một khía cạnh tĩnh, chúng tôi cần tiến hành kiểm tra an ninh sâu rộng ở các giai đoạn khác nhau của dự án, đặc biệt là trước khi triển khai. Ngoài ra, quản lý khóa riêng tư và an ninh của dịch vụ nút cũng vô cùng quan trọng, đây là những điểm then chốt cần được kiểm tra cẩn thận trong các giai đoạn khác nhau của dự án.
Do đó, đối với việc lặp lại và cập nhật hệ thống nội bộ, một nhân viên kiểm toán đơn lẻ rất khó thực hiện quy trình kiểm toán chuẩn hóa. CertiK sử dụng mô hình ngôn ngữ lớn (LLM) và công nghệ phân loại mã, áp dụng các phương pháp kiểm toán khác nhau dựa trên phân loại mã khác nhau. Mỗi phương pháp tương ứng với các công cụ cụ thể như kiểm tra, xác minh hình thức, kiểm toán từng giai đoạn, v.v. để đảm bảo mỗi bước đều tạo ra kết quả có thể kiểm toán và trình bày rõ ràng trong báo cáo. Mục tiêu của chúng tôi là vượt ra ngoài việc chỉ phát hiện vấn đề, mà là cung cấp toàn bộ quá trình lập báo cáo kiểm toán, giúp khách hàng hiểu rõ từng bước kiểm toán.
Hiện tại, các dịch vụ an ninh blockchain chủ yếu tập trung vào thị trường doanh nghiệp, nhưng nhu cầu an ninh của người dùng cá nhân cũng rất mạnh mẽ. Ví dụ, người dùng cần biết liệu trong ví của họ có token có rủi ro an ninh hay không, họ có từng tương tác với địa chỉ rủi ro không, và liệu họ có bị tấn công ẩn không. CertiK cam kết phục vụ người dùng cá nhân, mặc dù lĩnh vực này thách thức hơn, nhưng chúng tôi đang chuẩn bị để cung cấp dịch vụ cho số lượng lớn người dùng, giúp người dùng cá nhân đảm bảo an toàn tài sản.
DeThings: So với Web2.0, tình hình phát triển của lĩnh vực an ninh Web3.0 như thế nào?
Giáo sư Gu Ronghui:So với Web2.0, lĩnh vực an ninh của Web3.0 phức tạp hơn.
Một mặt, nhiều ứng dụng Web3.0 vẫn phụ thuộc vào cơ sở hạ tầng của Web2.0, điều này khiến chúng dễ bị ảnh hưởng bởi các khuyết điểm tập trung của Web2.0; đồng thời, sự kết hợp giữa Web2.0 và Web3.0 cung cấp cơ hội cho những kẻ gian kết hợp các cuộc tấn công lừa đảo truyền thống trên mạng với các công nghệ mới, từ đó phát sinh các hình thức lừa đảo phức tạp hơn.
Mặt khác, các công nghệ Web3.0 vẫn đang trong quá trình phát triển, hợp đồng dễ bị lỗ hổng, từ đó bị hacker tấn công. So với Web2.0, đặc điểm của Web3.0 là công khai, minh bạch, nhưng điều này cũng có nghĩa là hợp đồng thông minh chạy trên blockchain, một khi được triển khai, rất khó để thay đổi. Nếu bị hacker lợi dụng lỗ hổng để tấn công, sẽ gây ra thiệt hại lớn hơn so với mạng Web2.0.
Do đó, an ninh trong thế giới Web3.0 trở nên vô cùng quan trọng. Để bảo vệ an toàn của dự án và người dùng, các dự án nên gánh vác trách nhiệm xây dựng cộng đồng, bảo vệ lợi ích của nhóm và những người ủng hộ dự án. Với tư cách là một công ty an ninh, chúng tôi cho rằng nên cung cấp cho các dự án giải pháp an ninh toàn diện, để tốt hơn đáp ứng nhu cầu an ninh ở các giai đoạn khác nhau của dự án. Đồng thời, nên phổ cập kiến thức an ninh cho tất cả người dùng, cung cấp các công cụ an ninh tự chủ dễ sử dụng, để mang lại các biện pháp phòng ngừa an ninh cho mọi thành viên của Web3.0.
Nguồn: https://m.dethings.com/app/h5/#/pages/common/topicDetail/topicDetail?id=10704