Tháng trước, Ethereum Foundation đã công bố ra mắt dự án "Trillion Dollar Security (1TS)", nhằm mục đích đảm bảo Ethereum có thể hỗ trợ hàng tỷ người dùng lưu giữ an toàn hơn 1 nghìn tỷ đô la Mỹ tài sản Chuỗi và cho phép các doanh nghiệp, tổ chức và chính phủ lưu trữ và giao dịch an toàn hơn 1 nghìn tỷ đô la Mỹ trong một hợp đồng thông minh hoặc ứng dụng duy nhất, thúc đẩy Ethereum trở thành "cơ sở hạ tầng cấp độ văn minh" cho nền kinh tế toàn cầu.
Chỉ ngày hôm qua (ngày 10), Ethereum Foundation đã đăng một bài viết thông qua nền tảng X, chính thức phát hành báo cáo đầu tiên của dự án này, "Tổng quan về những thách thức bảo mật trong những thách thức bảo mật hiện tại trong hệ sinh thái Ethereum". Báo cáo này phân loại sáu thách thức chính trong vấn đề bảo mật của hệ sinh thái Ethereum và đặt nền tảng cho các giải pháp cho các vấn đề ưu tiên tiếp theo. Việc phát hành báo cáo đánh dấu một bước quan trọng Ethereum trong việc theo đuổi các tiêu chuẩn bảo mật cao hơn.
Phân tích chi tiết sáu thách thức bảo mật lớn Ethereum
Theo báo cáo “Tổng quan về những thách thức bảo mật hiện có trong hệ sinh thái Ethereum ”, Ethereum Foundation đã xác định những thách thức trong sáu lĩnh vực chính sau đây dựa trên phản hồi sâu rộng từ người dùng, nhà phát triển, chuyên gia bảo mật và các tổ chức:
1. Trải nghiệm người dùng (UX)
Giao diện mà người dùng tương tác với Ethereum là nguồn gốc cốt lõi của các thách thức về bảo mật, vì chỉ một lỗi do tính nguyên tử (không thể đảo ngược) của các giao dịch cũng có thể dẫn đến tổn thất đáng kể.
1.1 Quản lý private key: Người dùng khó có thể quản lý private key một cách an toàn. Cụm từ hạt giống ví phần mềm dễ bị lưu trữ không an toàn và ví phần cứng phải đối mặt với rủi ro mất mát, hư hỏng hoặc tấn công Chuỗi cung ứng. Do thay đổi nhân sự và yêu cầu tuân thủ, việc quản lý private key trở nên khó khăn hơn đối với người dùng doanh nghiệp.
1.2 Ký tên ẩn danh và giao dịch không chắc chắn: Người dùng thường chấp thuận giao dịch một cách mù quáng vì ví của họ hiển thị dữ liệu không rõ ràng, khiến họ dễ bị tấn công bởi các hợp đồng độc hại, Phishing, gian lận hoặc tấn công từ phía trước.
1.3 Quản lý phê duyệt và quyền: Ví cài đặt sẵn số lần phê duyệt không giới hạn, không có ngày hết hạn và thiếu chức năng quản lý quyền, làm tăng rủi ro các ứng dụng độc hại rút tiền.
1.4 Giao diện web bị tấn công: Giao diện web dễ bị tấn công như chiếm quyền điều khiển DNS và chèn JavaScript độc hại, có thể dẫn người dùng đến các hợp đồng độc hại hoặc ký các giao dịch sai lệch.
1.5 Quyền riêng tư: Bảo vệ quyền riêng tư yếu khiến người dùng có rủi ro Phishing , gian lận hoặc tấn công vật lý. Người dùng tổ chức cần bảo vệ quyền riêng tư mạnh hơn do tuân thủ hoặc nhu cầu kinh doanh.
1.6 Phân mảnh: Các ví khác nhau không nhất quán trong việc hiển thị giao dịch và xử lý phê duyệt, làm tăng thêm khó khăn cho người dùng trong việc học và rủi ro bảo mật.
2. Bảo mật hợp đồng thông minh
Hợp đồng thông minh đã trở thành bề mặt tấn công chính do tính minh bạch của chúng. Mặc dù có những tiến bộ kiểm toán và công cụ, vẫn còn những lỗ hổng và thách thức trong phát triển.
2.1 Lỗ hổng hợp đồng: bao gồm rủi ro nâng cấp , tấn công tái nhập, thành phần kiểm toán, lỗi kiểm soát truy cập, độ phức tạp của giao thức Chuỗi chéo và rủi ro mới do mã AI tạo ra.
2.2 Kinh nghiệm của nhà phát triển, công cụ và ngôn ngữ lập trình: Thiếu các cài đặt bảo mật được thiết lập sẵn trong công cụ, phạm vi kiểm tra không đồng đều, việc áp dụng xác minh chính thức thấp, lỗi trình biên dịch và hạn chế về ngôn ngữ làm tăng thêm khó khăn trong việc triển khai các hợp đồng an toàn.
2.3 Đánh giá rủi ro mã trên Chuỗi : Khung đánh giá rủi ro hiện tại khó áp dụng cho hợp đồng thông minh. Người dùng tổ chức thấy khó quản lý rủi ro vì họ cho rằng mã có thể thay đổi và được kiểm soát tập trung.
3. Cơ sở hạ tầng và bảo mật đám mây
Cơ sở hạ tầng mà Ethereum dựa vào (như Chuỗi L2, RPC và dịch vụ đám mây) tạo nên bề mặt tấn công và tính tập trung làm tăng rủi ro gián đoạn và kiểm duyệt.
3.1 Chuỗi lớp thứ hai: Độ phức tạp tài sản cầu nối L2, lỗi hệ thống chứng minh và rủi ro thông đồng của ủy ban bảo mật có thể dẫn đến mất quỹ hoặc đóng băng tài sản .
3.2 Cơ sở hạ tầng RPC và nút: Phụ thuộc vào một số nhà cung cấp RPC và đám mây, có thể chặn quyền truy cập của người dùng nếu họ ngoại tuyến hoặc bị kiểm duyệt.
3.3 Lỗ hổng cấp DNS: Việc chiếm đoạt DNS, chiếm đoạt tên miền và tên miền giống như Phishing đe dọa đến tính bảo mật truy cập của người dùng.
3.4 Chuỗi cung ứng phần mềm và thư viện: Các thư viện mã nguồn mở dễ bị tấn công bằng mã độc hoặc chiếm quyền phụ thuộc, trở thành mục tiêu tấn công.
3.5 Dịch vụ cung cấp front-end và rủi ro liên quan: Nếu nền tảng lưu trữ đám mây và CDN bị tấn công, các front-end độc hại có thể được cung cấp, ảnh hưởng đến bảo mật của người dùng.
3.6 Kiểm duyệt ở cấp độ Nhà cung cấp dịch vụ Internet: Các ISP hoặc quốc gia có thể kiểm duyệt quyền truy cập Ethereum thông qua chặn lưu lượng truy cập, lọc DNS, v.v.
4. Giao thức đồng thuận
Giao thức đồng thuận Ethereum ổn định, nhưng rủi ro dài hạn cần được cải thiện để tăng sức đề kháng.
4.1 Sự mong manh của sự đồng thuận và rủi ro phục hồi: Các trường hợp ngoại lệ (như bất đồng giữa các bên xác thực hoặc phân vùng mạng) có thể dẫn đến tình trạng trì trệ đồng thuận hoặc mất tiền của bên xác thực.
4.2 Sự đa dạng máy trạm: Sự đa dạng máy trạm bảo vệ mạng lưới, nhưng tỷ lệ áp dụng của một số máy trạm còn thấp và cần được cải thiện hơn nữa.
4.3 Tập trung staking và thống trị nhóm: Sự tập trung của các giao thức staking thanh khoản và các nhà điều hành lớn có thể dẫn đến rủi ro nắm giữ quyền quản trị hoặc đồng nhất hóa.
4.4 Khoảng cách phối hợp và cắt giảm xã hội chưa xác định: Thiếu cơ chế rõ ràng để xử lý trình xác thực độc hại và quy trình cắt giảm xã hội vẫn chưa hoàn thiện.
4.5 Các vectơ tấn công kinh tế và lý thuyết trò chơi: Các cuộc tấn công kinh tế bao gồm các cuộc tấn công làm hao mòn, thoát chiến lược và thao túng MEV vẫn chưa được nghiên cứu đầy đủ.
4.6 Rủi ro lượng tử: Máy tính lượng tử có thể phá vỡ công nghệ crypto hiện có và các giải pháp chống lại lượng tử cần được thiết kế trước.
5. Giám sát, ứng phó và giảm thiểu sự cố
Lỗ hổng bảo mật cần được giám sát và ứng phó hiệu quả, nhưng những thách thức hiện tại đang hạn chế hiệu quả.
- Liên hệ với đội ngũ bị ảnh hưởng: Khó liên lạc với đội ngũ bị tấn công, làm chậm quá trình khôi phục tiền.
- Vấn đề nâng cấp: Khó khăn trong việc phối hợp giữa các tổ chức và thiếu liên lạc trước.
- Phối hợp phản ứng: Sự hợp tác giữa nhiều đội ngũ có thể dễ dẫn đến nhầm lẫn và làm giảm hiệu quả.
- Khả năng giám sát không đủ: Việc giám sát trên Chuỗi và ngoài Chuỗi không đủ khiến việc cảnh báo sớm trở nên khó khăn.
- Gửi và rút tiền bảo hiểm: Hệ sinh thái crypto thiếu các lựa chọn bảo hiểm truyền thống, khiến việc giảm thiểu tổn thất trở nên khó khăn.
6. Tầng lớp xã hội và quản trị
Cộng đồng và ban quản trị Ethereum phải đối mặt với rủi ro dài hạn ảnh hưởng đến tính bảo mật tổng thể của mạng lưới.
6.1 Tập trung staking: Tập trung staking với lượng lớn có thể dẫn đến việc nắm giữ quyền quản trị, ảnh hưởng đến fork hoặc kiểm duyệt giao dịch.
6.2 Tập trung tài sản Chuỗi : Người nắm giữ tài sản ngoài Chuỗi có thể ảnh hưởng đến hướng đi của giao thức, chẳng hạn như lựa chọn hỗ trợ một fork cụ thể.
6.3 Các cuộc tấn công hoặc áp lực về mặt quản lý: Chính phủ hoặc cơ quan quản lý có thể buộc các thực thể quan trọng phải xem xét hoặc can thiệp vào giao thức.
6.4 Nắm bắt quyền quản trị tổ chức: Việc mua lại doanh nghiệp hoặc phụ thuộc tài chính có thể thay đổi văn hóa quản trị và làm suy yếu tính trung lập Ethereum.
Các bước tiếp theo và sự tham gia cộng đồng
Ethereum Foundation cho biết bước tiếp theo của kế hoạch 1TS là lựa chọn các vấn đề có mức độ ưu tiên cao nhất dựa trên kết quả báo cáo và làm việc với hệ sinh thái để phát triển các giải pháp. Để đạt được mục tiêu "bảo mật cấp nghìn tỷ đô la", Ethereum Foundation kêu gọi sự tham gia rộng rãi cộng đồng và khuyến khích người dùng, nhà phát triển và tổ chức gửi phản hồi qua thousanddollarsecurity@ethereum.org để chia sẻ các vấn đề chưa được đề cập, các đề xuất ưu tiên hoặc giải pháp.
