a16z Crypto kêu gọi một sự thay đổi mô hình trong bảo mật DeFi.

"Mã nguồn là luật → Tiêu chuẩn là luật"... Đề xuất ngăn chặn tấn công mạng từ trước bằng cách sử dụng kiểm thử tính bất biến.

Công ty đầu tư mạo hiểm toàn cầu a16z Crypto đã kêu gọi một sự thay đổi mô hình bảo mật cho các giao thức tài chính phi tập trung (DeFi). Với việc 650 triệu đô la bị thất thoát do các lỗ hổng mã nguồn chỉ riêng năm ngoái, công ty này lập luận rằng cần thiết phải có một sự thay đổi cơ bản trong các phương pháp bảo mật.

Từ "quy tắc là luật" đến "chuẩn mực là luật"

Trong một bài báo gần đây, Daejun Park, một nhà nghiên cứu bảo mật blockchain cấp cao tại a16z Crypto, lập luận rằng các giao thức tài chính phi tập trung (DeFi) cần chuyển từ "mã nguồn là luật" sang "đặc tả kỹ thuật là luật".

Nhà nghiên cứu Park đề xuất áp dụng một phương pháp bảo mật có nguyên tắc hơn, cụ thể là mã hóa cứng các đảm bảo bảo mật thông qua các chuẩn mực tiêu chuẩn và kiểm tra bất biến, đồng thời tự động hoàn tác các giao dịch vi phạm các quy tắc đã được định trước.

"Hầu hết các lỗ hổng bảo mật đã biết đều có thể được phát hiện thông qua các bước kiểm tra này, và các cuộc tấn công có thể bị chặn ngay trong quá trình thực thi," ông giải thích.

Thiệt hại do lỗ hổng bảo mật mã nguồn gây ra năm ngoái lên tới gần 650 triệu đô la.

Theo một báo cáo của Slowmist, tin tặc đã đánh cắp hơn 649 triệu đô la vào năm ngoái thông qua các lỗ hổng bảo mật trong mã lập trình.

Ngay cả Balancer, một giao thức lâu năm đã hoạt động từ năm 2021, cũng đã chịu tổn thất 128 triệu đô la do lỗ hổng mã nguồn vào tháng 11 năm ngoái. Các nhà phát triển lo ngại rằng tin tặc ngày càng sử dụng trí tuệ nhân tạo (AI) để tìm kiếm các lỗ hổng.

Hệ sinh thái DeFi từ lâu đã coi mã hợp đồng thông minh là quy tắc tuyệt đối, theo nguyên tắc "mã nguồn là luật". Tuy nhiên, một loạt các vụ tấn công mạng quy mô lớn đã cho thấy rõ những hạn chế của cách tiếp cận này.

Một số người cũng bày tỏ lo ngại, nói rằng, "Đây không phải là thuốc chữa bách bệnh."

Tuy nhiên, một số người trong ngành vẫn thận trọng lạc quan rằng kiểm thử tính bất biến không phải là giải pháp vạn năng.

"Kiểm tra khả năng miễn dịch không phải là giải pháp vạn năng," người đứng đầu bộ phận an ninh của Immunefi cho biết, đồng thời nói thêm rằng "chúng có thể làm tăng chi phí gas và khiến người dùng bỏ đi."

"Đối với nhiều lỗ hổng bảo mật, việc viết ra các quy tắc bất biến có thể phát hiện các cuộc tấn công mà không tạo ra kết quả sai là rất khó", người đồng sáng lập của Asymmetric Research cho biết.

Tuy nhiên, toàn ngành đều nhất trí rằng cần có một sự thay đổi căn bản trong cách tiếp cận để tăng cường bảo mật DeFi, và đề xuất của a16z Crypto được kỳ vọng sẽ là điểm khởi đầu quan trọng cho các cuộc thảo luận trong tương lai về các tiêu chuẩn bảo mật DeFi.

Joohoon Choi joohoon@blockstreet.co.kr