Sau khi trang web của Curve Finance bị tấn công DNS lớn vào đầu tháng này, các mối lo ngại về những cách tinh vi và mới mà tin tặc nhắm vào các công ty crypto đang gia tăng. Từ việc xâm phạm truyền thông xã hội đến các lỗ hổng front-end và các điểm yếu của hợp đồng thông minh, hệ sinh thái web3 đang phải đối mặt với một mối đe dọa dai dẳng.
Khi DeFi và crypto trở nên phổ biến hơn, chúng đang thu hút nhiều ánh mắt độc hại hơn. Các cuộc tấn công giờ đây gần như không thể tránh khỏi. Vậy làm thế nào để chống lại? Michael Egorov, người sáng lập Curve Finance, đã giải quyết những chủ đề này và nhiều hơn nữa trong một cuộc phỏng vấn độc quyền với BeInCrypto.
Curve Finance Phản Hồi Về Vụ Hack
Vụ trộm lớn nhất trong lịch sử crypto đã xảy ra năm nay, và đó không phải là một sự cố riêng lẻ. Các cuộc tấn công tinh vi vào hệ sinh thái DeFi đang gia tăng, với việc lừa đảo nội bộ tại Coinbase, các lỗ hổng cấp giao thức tại zkSync, và một vụ hack DNS lớn tại Curve Finance.
Egorov đã thảo luận về các điểm yếu cấu trúc của ngành Web3 và cách đối phó.
"Các vấn đề bảo mật web truyền thống không thực sự là điều gì mới. Vấn đề là, trong thế giới Web2, thiệt hại từ những vấn đề như vậy thường có thể kiểm soát được, vì vậy đây không phải là một vấn đề lớn. Tuy nhiên, trong crypto, các mức độ rủi ro rất khác vì gần như tất cả các giao dịch đều kết thúc ngay lập tức. Do đó, tiêu chuẩn bảo mật cao hơn nhiều cho lĩnh vực này, và cơ sở hạ tầng internet ngày nay không được xây dựng để đáp ứng những yêu cầu này," ông tuyên bố.
Curve Finance, một sàn phi tập trung (DEX) lớn, có nền tảng mạnh trong việc thảo luận về các điểm yếu của DeFi. Trong suốt lịch sử dài của mình, Curve đã phải đối mặt và quản lý các sự cố bảo mật quan trọng nhiều lần, buộc công ty phải liên tục điều chỉnh cách tiếp cận bảo mật.
Tuy nhiên, đầu tháng này, trang web của sàn đã trở thành mục tiêu mới nhất. Cuối cùng, sàn DEX phải thay đổi tên miền chính thức. Theo quan điểm của Egorov, vấn đề về cơ bản là nội tại của internet như chúng ta biết.
"Theo những gì tôi có thể thấy, chúng tôi không thể làm gì tốt hơn về mặt công nghệ. Vấn đề lần này là từ bên ngoài. Theo ý kiến của tôi, có một vấn đề cơ bản trong cách xây dựng các ứng dụng web. Chúng ta cần các ứng dụng máy tính để bàn an toàn được xây dựng từ đầu với ưu tiên là an toàn," Egorov tuyên bố.
Cụ thể, ông chỉ ra một số điểm yếu cấu trúc đã tạo điều kiện cho vụ tấn công Curve và các vụ hack gần đây. Các ứng dụng Web3 vẫn phải tương tác với một trang web tĩnh nào đó, sử dụng các nhà đăng ký DNS để kết nối tên miền trang web với máy chủ front-end.
Nếu kẻ tấn công lừa gạt, chiếm quyền điều khiển hoặc hối lộ các máy chủ này, nó sẽ mở ra một đường tấn công rất hiệu quả, một chiến thuật được sử dụng gần đây trên Curve.
Đó chỉ là một trong những vấn đề cấu trúc với cơ sở hạ tầng Internet 'Web2' hiện tại. Ví dụ, các trang web dựa vào hàng ngàn gói JavaScript nhỏ, khó kiểm toán từng cái.
Các gói bị xâm phạm có thể lén lút và hiệu quả vượt qua bảo mật của một giao thức DeFi theo nhiều cách. Tất cả điều đó có nghĩa là Web3 dễ bị tổn thương bởi nhiều cuộc tấn công Web2.
Các Vấn Đề Web3 Yêu Cầu Giải Pháp Mới
Egorov cho rằng ngành crypto sẽ cần phải thực hiện những thay đổi cấu trúc lớn để giải quyết triệt để những vấn đề này. Ví dụ, ông đề cập đến Ethereum Name Service (ENS) như một cách gốc blockchain để tránh các cuộc tấn công DNS.
Nếu được áp dụng, ENS sẽ hiệu quả, nhưng nó không có đủ hỗ trợ cấp trình duyệt để trở nên phổ biến.
Ngay cả khi Curve nhận được sự ủng hộ của các tổ chức để ngăn chặn các vụ hack bằng các biện pháp bảo mật dựa trên Web3 hơn, hệ sinh thái mới có thể hơi khác so với chúng ta.
Ví dụ, Egorov đề cập rằng toàn bộ cấu trúc kiếm tiền của lưu lượng web sẽ phải thay đổi. Thay vào đó, các nhà chơi chính sẽ phải xử lý chi phí duy trì, được khuyến khích bởi việc tăng cường bảo mật.
"Xây dựng một ứng dụng như vậy sẽ là rất nhiều công việc - nó sẽ cần phải triển khai lại các giao diện DeFi, hoàn toàn tránh các công nghệ web và có lẽ không có khả năng kiếm tiền. Nhưng tôi tin rằng có nhu cầu mạnh mẽ cho nó, đặc biệt là từ các tổ chức xử lý số tiền người dùng đáng kể," ông lưu ý.
Những giải pháp này chắc chắn là cấp tiến, nhưng Egorov nhấn mạnh rằng những vấn đề này là xã hội, không phải công nghệ. Ông chỉ đề xuất các biện pháp bảo mật có thể xây dựng được bằng cách sử dụng nghiên cứu blockchain hiện có, nhưng chúng sẽ là đủ.
Nói cách khác, nếu tốc độ các cuộc tấn công lớn tiếp tục tăng, nó có thể tạo ra nhiều nhiệt tình hơn cho những cải cách này. Curve Finance đã sẵn sàng xây dựng một tương lai Web3 không có những điểm yếu này.
Nhưng khi các mối đe dọa bảo mật hiện tại vẫn tiếp diễn, lời khuyên của Egorov cho DeFi là xây dựng nhiều ứng dụng máy tính để bàn chuyên dụng hơn.
"Như tôi đã đề cập trước đó, mô hình hiện tại của việc xây dựng các ứng dụng front-end quá không an toàn và có bề mặt tấn công rất lớn. Để đạt được mức độ bảo mật tốt hơn, các tương tác DeFi lý tưởng nên chuyển sang các ứng dụng máy tính để bàn chuyên dụng," người sáng lập Curve kết luận.
