Liên kết gốc: Xu hướng bảo mật năm 2026
Biên soạn bởi: Ken, ChainCatcher
1. Bảo mật thông tin cá nhân sẽ là hệ thống bảo vệ quan trọng nhất đối với ngành công nghiệp crypto trong năm nay.
Quyền riêng tư là yếu tố then chốt trong sự chuyển dịch toàn cầu của ngành tài chính sang Chuỗi, và là yếu tố gần như hoàn toàn thiếu vắng trong blockchain hiện có. Đối với hầu hết blockchain, quyền riêng tư chỉ là mối quan tâm thứ yếu. Nhưng ngày nay, chính quyền riêng tư đã đủ để làm cho một blockchain nổi bật so với blockchain.
Quyền riêng tư đóng vai trò thậm chí còn quan trọng hơn: nó tạo ra Chuỗi ràng buộc; hay nói cách khác, là hiệu ứng mạng lưới về quyền riêng tư. Điều này đặc biệt quan trọng trong thế giới ngày nay, nơi mà chỉ hiệu suất thôi không còn đủ để giành chiến thắng.
Nhờ các giao thức cầu nối, việc chuyển đổi từ Chuỗi này sang Chuỗi rất dễ dàng miễn là tất cả thông tin đều công khai. Tuy nhiên, mọi thứ thay đổi đáng Chuỗi khi thông tin trở nên sở hữu tư nhân: token cầu nối thì dễ, nhưng khóa cầu nối thì khó. Việc di chuyển giữa các chuỗi sở hữu tư nhân luôn tiềm ẩn rủi ro; ai đó theo dõi Chuỗi , mempool hoặc lưu lượng mạng có thể xác định danh tính của bạn. Vượt qua ranh giới giữa Chuỗi sở hữu tư nhân và công khai —hoặc thậm chí giữa hai Chuỗi sở hữu tư nhân —sẽ làm rò rỉ nhiều dữ liệu khác nhau, chẳng hạn như mối tương quan giữa thời gian giao dịch và kích thước giao dịch, khiến việc theo dõi ai đó trở nên dễ dàng hơn nhiều.
So với vô số blockchain mới nổi có chức năng đơn lẻ và tính cạnh tranh cao (với không gian khối gần như giống hệt nhau), blockchain hỗ trợ bảo mật có lợi thế cạnh tranh mạnh mẽ hơn vì phí blockchain có khả năng giảm xuống bằng không do cạnh tranh. Thực tế của hiệu ứng mạng lưới là nếu một Chuỗi cung ứng "đa năng" không có hệ sinh thái phát triển mạnh, các ứng dụng đột phá hoặc lợi thế phân phối không công bằng, hầu như không ai sẽ sử dụng hoặc phát triển trên đó - chứ đừng nói đến việc duy trì lòng trung thành với nó.
Khi người dùng sử dụng blockchain công khai, họ có thể dễ dàng giao dịch với người dùng trên Chuỗi khác — việc họ tham gia vào Chuỗi không quá quan trọng. Tuy nhiên, khi người dùng sử dụng blockchain sở hữu tư nhân , việc lựa chọn Chuỗi trở nên rất quan trọng, bởi vì một khi đã tham gia, họ khó có thể dễ dàng chuyển đổi Chuỗi, do đó làm giảm rủi ro rò rỉ thông tin. Điều này tạo ra tình huống "kẻ thắng cuộc chiếm tất cả". Vì quyền riêng tư rất quan trọng đối với hầu hết các ứng dụng thực tế, một vài Chuỗi riêng tư có thể kiểm soát phần lớn crypto.
2. Năm nay, những thách thức mà các ứng dụng nhắn tin tức thời phải đối mặt không chỉ là làm thế nào để chống lại các cuộc tấn công lượng tử, mà còn là làm thế nào để đạt được phi tập trung.
Thế giới đã sẵn sàng cho điện toán lượng tử. Nhiều ứng dụng nhắn tin tức thời dựa trên crypto(như Apple, Signal và WhatsApp) đang đi tiên phong và hoạt động rất tốt. Vấn đề là tất cả các ứng dụng nhắn tin tức thời lớn đều dựa vào sự tin tưởng của chúng ta vào các máy chủ sở hữu tư nhân do một thực thể duy nhất vận hành. Những máy chủ này dễ dàng trở thành mục tiêu của chính phủ, họ có thể dễ dàng đóng cửa chúng, cài đặt cửa hậu hoặc ép buộc người dùng giao nộp dữ liệu cá nhân của mình.
Crypto lượng tử có ích gì nếu một quốc gia có thể tắt máy chủ của bạn; nếu một công ty nắm giữ chìa khóa truy cập máy chủ sở hữu tư nhân; hoặc thậm chí nếu chỉ có một công ty sở hữu máy chủ sở hữu tư nhân ?
Máy sở hữu tư nhân đòi hỏi "sự tin tưởng vào tôi", nhưng việc không có máy chủ sở hữu tư nhân có nghĩa là "bạn không cần phải tin tưởng tôi". Giao tiếp không cần bất kỳ công ty trung gian nào. Truyền thông điệp yêu cầu các giao thức mở, theo đó chúng ta không cần phải tin tưởng bất cứ ai.
Cách tiếp cận của chúng tôi để đạt được mục tiêu này là phi tập trung: không có máy chủ sở hữu tư nhân, không có ứng dụng độc lập, tất cả đều mã nguồn mở và crypto cấp cao — bao gồm cả bảo vệ chống lại các mối đe dọa lượng tử. Trong một mạng lưới mở, không cá nhân, công ty, tổ chức phi lợi nhuận hay quốc gia nào có thể tước đoạt khả năng liên lạc của chúng ta. Ngay cả khi một quốc gia hoặc công ty đóng cửa một ứng dụng, 500 phiên bản mới sẽ xuất hiện vào ngày hôm sau. Sau khi một nút bị đóng cửa, sự tồn tại của các công nghệ như blockchain sẽ thúc đẩy động lực kinh tế để một nút mới ngay lập tức thay thế vị trí của nó.
Khi mọi người kiểm soát thông tin của mình giống như cách họ kiểm soát tiền bạc – thông qua private key– mọi thứ sẽ thay đổi. Các ứng dụng có thể xuất hiện rồi biến mất, nhưng người dùng sẽ luôn kiểm soát thông tin và danh tính của mình; người dùng cuối giờ đây có thể sở hữu thông tin của họ ngay cả khi họ không còn sử dụng ứng dụng đó nữa.
Điều này còn mạnh mẽ hơn cả khả năng chống lượng tử và crypto; nó liên quan đến quyền sở hữu và phi tập trung. Nếu thiếu cả hai, tất cả những gì chúng ta làm chỉ là xây dựng một crypto tưởng chừng như không thể phá vỡ nhưng vẫn có thể bị vô hiệu hóa.
3. Chúng tôi sẽ cung cấp "Bảo mật như một dịch vụ" để biến quyền riêng tư thành cơ sở hạ tầng cốt lõi.
Đằng sau mỗi mô hình, tác nhân và quy trình tự động đều có một sự phụ thuộc đơn giản: dữ liệu. Nhưng hầu hết các đường dẫn dữ liệu hiện nay — dữ liệu đầu vào hoặc đầu ra cho các mô hình — đều không minh bạch, dễ thay đổi và kiểm toán.
Điều này có thể vô hại đối với một số ứng dụng dành cho người tiêu dùng, nhưng nhiều ngành công nghiệp và người dùng (như tài chính và chăm sóc sức khỏe) yêu cầu các công ty phải bảo vệ quyền riêng tư của dữ liệu nhạy cảm. Đây cũng là một trở ngại lớn hiện đang ngăn cản các tổ chức token hóa tài sản thực tế.
Vậy làm thế nào chúng ta có thể đạt được sự đổi mới an toàn, tuân thủ quy định, tự chủ và có khả năng tương tác toàn cầu trong khi vẫn bảo vệ quyền riêng tư?
Có nhiều phương pháp, nhưng tôi sẽ tập trung vào kiểm soát truy cập dữ liệu: Ai kiểm soát dữ liệu nhạy cảm? Dữ liệu được truyền tải như thế nào? Ai (hoặc cái gì) có thể truy cập nó? Nếu không có kiểm soát truy cập dữ liệu, bất kỳ ai muốn giữ bí mật dữ liệu hiện nay đều phải sử dụng các dịch vụ tập trung hoặc xây dựng các thiết lập tùy chỉnh—điều này không chỉ tốn thời gian và công sức mà còn ngăn cản các tổ chức tài chính truyền thống và các tổ chức khác tận dụng tối đa khả năng và lợi ích của việc quản lý dữ liệu Chuỗi . Để các hệ thống proxy có thể duyệt, giao dịch và đưa ra quyết định một cách tự động, người dùng và các tổ chức trong nhiều ngành cần có sự đảm bảo crypto, chứ không chỉ là “niềm tin dựa trên nỗ lực tối đa”.
Đây là lý do tại sao tôi cho rằng chúng ta cần dịch vụ quản lý bí mật: các công nghệ mới có thể cung cấp các quy tắc truy cập dữ liệu gốc, có thể lập trình; crypto máy trạm ; và quản lý khóa phi phi tập trung để thực thi việc ai có thể giải mã cái gì trong điều kiện nào và trong bao lâu... tất cả đều được thực thi trên Chuỗi.
Bằng cách kết hợp với các hệ thống dữ liệu có thể kiểm chứng, các bí mật có thể trở thành một phần của cơ sở hạ tầng công cộng cơ bản của internet, thay vì chỉ là một bản vá lỗi cấp ứng dụng để bảo vệ quyền riêng tư được thêm vào sau đó, từ đó biến quyền riêng tư thành một cơ sở hạ tầng cốt lõi.
4. Trong kiểm thử bảo mật, chúng ta sẽ chuyển từ quan niệm "mã nguồn là luật" sang quan niệm "tiêu chuẩn là luật".
Năm ngoái, các cuộc tấn công vào nền tảng DeFi thậm chí còn ảnh hưởng đến cả những giao thức đã được kiểm chứng, hoàn thiện với đội ngũ mạnh mẽ, cơ chế kiểm toán nghiêm ngặt và nhiều năm kinh nghiệm vận hành. Những sự cố này làm nổi bật một thực tế đáng lo ngại: các tiêu chuẩn bảo mật hiện hành vẫn phụ thuộc rất nhiều vào kinh nghiệm cá nhân và cách tiếp cận từng trường hợp cụ thể.
Để đạt được sự trưởng thành trong năm nay, bảo mật DeFi cần chuyển từ các mẫu lỗ hổng sang các thuộc tính ở cấp độ thiết kế, và từ phương pháp"nỗ lực tối đa" sang phương pháp"có nguyên tắc".
Trong giai đoạn tĩnh/trước khi triển khai (kiểm thử, kiểm toán, xác minh chính thức), điều này có nghĩa là chứng minh tính bất biến toàn cục một cách có hệ thống, thay vì xác minh các bất biến cục bộ được chọn thủ công. Hiện nay, nhiều đội ngũ đang xây dựng các công cụ chứng minh hỗ trợ bởi AI có thể giúp viết đặc tả, đề xuất các bất biến và giảm bớt công việc kỹ thuật chứng minh thủ công tốn kém và lượng lớn như trước đây.
Trong giai đoạn động/sau triển khai (giám sát thời gian thực, thực thi thời gian thực, v.v.), các bất biến này có thể được chuyển đổi thành các biện pháp bảo vệ thời gian thực: tuyến phòng thủ cuối cùng. Các biện pháp bảo vệ này được mã hóa trực tiếp dưới dạng các khẳng định thời gian thực mà mọi giao dịch phải đáp ứng.
Do đó, thay vì cho rằng mọi lỗi đều đã được phát hiện, giờ đây chúng tôi thực thi các thuộc tính bảo mật quan trọng ngay trong mã nguồn và tự động hoàn tác bất kỳ giao dịch nào vi phạm các thuộc tính này.
Đây không chỉ là lý thuyết. Trên thực tế, hầu hết các cuộc tấn công khai thác lỗ hổng bảo mật cho đến nay đều kích hoạt một trong những bước kiểm tra này trong quá trình thực thi, có khả năng ngăn chặn hacker. Do đó, khái niệm "mã nguồn là luật" từng rất phổ biến nay đã phát triển thành "tiêu chuẩn là luật": ngay cả những cuộc tấn công hoàn toàn mới cũng phải đáp ứng các thuộc tính bảo mật tương tự để đảm bảo tính toàn vẹn của hệ thống, do đó khiến các cuộc tấn công chỉ có quy mô nhỏ hoặc cực kỳ khó thực hiện.
