Hướng dẫn phát triển mã hóa: Công nghệ bảo mật Web3 và cơ chế an toàn
Tuyển chọn TechFlowTuyển chọn TechFlow
Hướng dẫn phát triển mã hóa: Công nghệ bảo mật Web3 và cơ chế an toàn
Tìm hiểu các công nghệ và cơ chế bảo mật phổ biến như tài khoản trừu tượng Web3, giao dịch khả nghịch qua một bài viết duy nhất.
Chuyên sâu báo cáo Web3Năm 2022, ngành Web3 đã ghi nhận mức tổn thất kỷ lục do các vấn đề an ninh như lỗi hợp đồng thông minh, tấn công cầu nối (bridge), lừa đảo phishing... Theo số liệu thống kê từ Viện Nghiên cứu An toàn SAFEIS, tổng giá trị liên quan đến các sự cố an ninh blockchain trong năm ngoái vượt quá 75,3 tỷ USD, thử thách an ninh đối với Web3 nghiêm trọng hơn bao giờ hết.
Một mặt, những tổn thất an ninh đáng kinh ngạc khiến nhiều người muốn tham gia Web3 phải dè chừng. Mặt khác, an ninh là yếu tố hàng đầu và thiết yếu của một dự án blockchain tốt. Để thu hút nhiều người hơn tham gia vào việc xây dựng và phát triển Web3, vấn đề an ninh mã hóa cần được cải thiện khẩn cấp.
Dễ dàng hình dung rằng năm 2023 sẽ là một năm đạt được những thành tựu quan trọng về công nghệ an ninh mã hóa. Những công nghệ an ninh mới này sẽ trực tiếp đảm bảo trải nghiệm an toàn cho người dùng Web3 và nâng cao giá trị phát triển của các dự án. Phần dưới đây sẽ phân tích từ hai khía cạnh: tiến bộ công nghệ an ninh mã hóa và việc thiết lập cơ chế bảo vệ, rất mong quý vị gửi ý kiến tại phần bình luận, cùng nhau thảo luận về các vấn đề an ninh!
Công nghệ an ninh Web3
Như chúng ta đều biết, an ninh Web3 không nên được đảm bảo bởi cơ chế tập trung. Tuy nhiên do công nghệ mã hóa vẫn đang trong giai đoạn phát triển ban đầu, nhiều dự án Web3 hoặc sử dụng cơ chế an ninh ngoài chuỗi mang tính tập trung, hoặc tồn tại lỗ hổng kỹ thuật, dẫn đến khi ngày càng nhiều người tham gia Web3 thì các vấn đề an ninh càng trở nên rõ rệt. An ninh mã hóa là một trong những nền tảng quan trọng đảm bảo sự phát triển lâu dài của Web3. Dưới đây xin giới thiệu một số công nghệ an ninh mã hóa sẽ thu hút sự chú ý trong năm nay.
Trừu tượng tài khoản
Trừu tượng tài khoản (Account Abstraction) được coi là công nghệ then chốt để bảo vệ tài sản mã hóa và phổ cập hóa Web3. Cụ thể, trừu tượng tài khoản tách riêng người ký kết khỏi tài khoản, cho phép tài khoản có logic riêng để xác định giao dịch hợp lệ, mà không nhất thiết phải dùng thuật toán chữ ký riêng ECDSA để định nghĩa giao dịch hợp lệ. Công nghệ này sẽ đơn giản hóa tối đa độ phức tạp hiện tại khi sử dụng ví, giúp người dùng phổ thông dễ dàng và an toàn hơn khi sử dụng ví mã hóa. Hiện nay, Avatar là ví mã hóa đầu tiên trên thị trường ứng dụng thành công công nghệ trừu tượng tài khoản. Kết hợp với giao thức OAuth, người dùng ví này có thể đăng nhập bằng tài khoản Google chỉ với một cú nhấp, loại bỏ các thao tác rườm rà như cài đặt tiện ích mở rộng trình duyệt, tải Dapp, đăng ký ví lại, v.v.
Hơn nữa, trên cơ sở công nghệ trừu tượng tài khoản, còn có thể tích hợp chức năng Social Recovery (khôi phục qua mạng xã hội), cho phép chủ sở hữu ví chọn một nhóm người có thể di chuyển tài sản ví trong những trường hợp đặc biệt, nhằm phòng ngừa mất khóa của chủ sở hữu ban đầu. Ví dụ, ví Argent là một ví phi tập trung sử dụng Social Recovery, nhờ công nghệ này tăng cường an ninh, nhanh chóng trở thành ví "hợp đồng thông minh" được ưa chuộng nhất. Còn nhiều tiến bộ kỹ thuật khác đang chờ các nhà phát triển Web3 khám phá thêm; bạn đọc có thể tìm hiểu sâu hơn về nguyên lý công nghệ này trong bài viết “Tương lai của Trừu tượng Tài khoản Ethereum – EIP 4337”.
Giao dịch đảo ngược được
Tính bất khả nghịch của giao dịch blockchain là con dao hai lưỡi. Các vụ trộm cắp mã hóa xảy ra thường xuyên, nhưng không có nút "hủy bỏ" để hủy giao dịch, khiến lượng lớn người tham gia bị mất tiền mà không thể khiếu nại. Trong khi đó, tài sản mã hóa hỗ trợ giao dịch đảo ngược có thể khắc phục những hành vi trộm cắp này. Vào nửa cuối năm ngoái, tham khảo ý tưởng tiêu chuẩn ERC 20 có thể đảo ngược dựa trên quản trị DAO mà Vitalik Buterin đề xuất năm 2018, các nhà nghiên cứu Đại học Stanford đã đưa ra hai tiêu chuẩn giao dịch có thể đảo ngược: ERC 20 R / ERC 721 R.
Công nghệ này cho phép sau khi giao dịch xảy ra, thông qua chương trình bỏ phiếu tư pháp phi tập trung, hoàn trả tiền về cho chủ sở hữu hợp pháp, mà không cần xóa giao dịch khỏi blockchain. Nó giới thiệu một cơ chế gọi là “tòa án phi tập trung”, khi tài sản bị đánh cắp, nạn nhân có thể yêu cầu đóng băng tài sản; “tòa án phi tập trung” sẽ bỏ phiếu quyết định có đóng băng hay không, sau khi đóng băng thì “tòa án” sẽ dựa trên chứng cứ của cả hai bên để quyết định quyền sở hữu tài sản nhằm giải quyết tranh chấp.
Tuy nhiên, việc chuyển từ giao dịch không thể đảo ngược sang có thể đảo ngược liên quan đến rất nhiều vấn đề tin cậy và cân bằng lợi ích. Ví dụ: ai có quyền khởi xướng đề xuất khiếu nại giao dịch? Nếu gặp phải cáo buộc ác ý làm tắc nghẽn vốn thì sao? Ai đủ điều kiện trở thành thành viên tòa án trọng tài? Nếu gặp phải thẩm phán ác ý, thẩm phán bị hối lộ thì xử lý thế nào? Ngoài ra, nếu khoản tiền tranh chấp đã thực hiện giao dịch chéo (cross-transaction), khi đảo ngược sẽ trải qua thời gian tranh chấp tương đối dài. Đối với sàn giao dịch phi tập trung, quá trình chờ đợi hoàn vốn chắc chắn ảnh hưởng đến tính thanh khoản vốn, từ đó cản trở sự phát triển ứng dụng trên đó. Vì vậy, vẫn còn rất nhiều vấn đề kỹ thuật cần giải quyết liên quan đến giao dịch đảo ngược.
Công nghệ liên chuỗi
An ninh liên chuỗi luôn là chìa khóa để phá vỡ vấn đề "đảo dữ liệu" giữa các blockchain. Hiện nay đã có những dự án đạt tiến triển trong lĩnh vực an ninh liên chuỗi. Ví dụ, Stargate Finance là DApp đầu tiên được xây dựng dựa trên giao thức LayerZero, sử dụng thuật toán độc đáo “Delta (∆)”, “hoàn hảo” giải quyết vấn đề “tam giác bất khả thi”, đồng thời tận dụng tính năng tương tác lớp 0 để kết nối các hòn đảo thanh khoản vốn giữa các blockchain công cộng khác nhau, nâng cao hiệu quả sử dụng vốn của hệ thống trên cơ sở đảm bảo an ninh, xây dựng cây cầu tài sản gốc hoàn toàn có thể kết hợp đầu tiên, biến việc chuyển đổi thanh khoản liên chuỗi thành một quá trình liền mạch, đơn lẻ và an toàn.
Bên cạnh đó, nền tảng Dex Chainge Finance sử dụng công nghệ DCRM để bảo vệ an toàn tài sản liên chuỗi của người dùng. Công nghệ DCRM có thể chia khóa hoàn chỉnh thành nhiều phần, các phần khóa sau khi phân mảnh không cần phải tái tổ hợp trong suốt quá trình tạo, lưu trữ và sử dụng. Sau đó, các phần khóa phân mảnh được giao cho các nút khác nhau quản lý riêng biệt. Bằng cách áp dụng công nghệ này, Chainge tự động thu thập dữ liệu từ nhiều sàn DEX, tìm ra tỷ lệ giao dịch tốt nhất cho người dùng, đồng thời tự động chia nhỏ đơn đặt hàng giao dịch trên nhiều chuỗi để đảm bảo người dùng nhận được lợi ích tối đa.
Tóm lại, khác với các phương án công nghệ liên chuỗi chính thống như mô hình công chứng viên, khóa thời gian băm (HTLC) và mô hình trung chuyển, nhiều dự án đã bắt đầu xây dựng rào cản an ninh thông qua đổi mới công nghệ. Liệu các công nghệ an ninh này có thực sự đáp ứng nhu cầu an ninh liên chuỗi của Web3 hay không, vẫn cần thêm thời gian để kiểm chứng.
Cơ chế an ninh Web3
Sự phát triển và trưởng thành của công nghệ cần tốn kém chi phí thời gian nhất định, trong khi các vấn đề an ninh mã hóa luôn rình rập, nhiều người tham gia Web3 cũng lựa chọn áp dụng các cơ chế an ninh bên ngoài để giảm thiểu rủi ro ở mức tối đa.
Kiểm toán phi tập trung
Kiểm toán an ninh là một bước quan trọng để các dự án Web3 tránh rủi ro. Năm nay, dịch vụ kiểm toán sẽ phát triển theo hai hướng: phổ cập hóa và phi tập trung hóa. Một mặt, ngày càng nhiều dự án nhận thức được tầm quan trọng của kiểm toán an ninh, sẽ có một lượng lớn dự án Web3 tìm kiếm dịch vụ kiểm toán chuyên nghiệp để tránh các rủi ro tiềm ẩn. Vào đầu năm, chuyên mục TinTin Meeting từng mời các chuyên gia kiểm toán trong ngành thảo luận về an ninh kiểm toán Web3, cung cấp kiến thức an ninh cần thiết cho các bên phát triển dự án và người dùng. Bạn đọc quan tâm có thể tìm hiểu thêm nội dung liên quan trong bài viết “Kiểm toán hợp đồng thông minh - Hàng rào an ninh quan trọng nhất bảo vệ blockchain”.
Mặt khác, kiểm toán sẽ phát triển theo hướng phi tập trung và ngày càng mang đặc điểm của tổ chức tự trị phi tập trung (DAO). Theo xu hướng phát triển của các nhà cung cấp dịch vụ kiểm toán an ninh như Code 4 rena và Immunefi.com, có thể thấy công việc an ninh blockchain ngày càng phụ thuộc vào việc tạm thời lập các đội ngũ nhỏ linh hoạt để đáp ứng và giải quyết các nhu cầu an ninh khác nhau của từng dự án cụ thể.
Lấy ví dụ Code 4 rena, dịch vụ này tổ chức kiểm toán dưới dạng cuộc thi. Cuộc thi thiết lập ba vai trò: Người bảo vệ (Wardens), Nhà tài trợ (Sponsors) và Ban giám khảo (Judges), nhằm thực hiện kiểm toán dự án. Hiện tại, Code 4 rena đã hợp tác với OpenSea, ENS, zkSync, Aave, Alchemix, Nouns.
Bảo hiểm phi tập trung
Sau sự kiện LUNA và FTX năm ngoái, nhiều người tham gia ngành nhận ra tầm quan trọng của bảo đảm an ninh, nhu cầu về bảo hiểm an ninh phi tập trung vì thế mà nảy sinh. Theo thống kê, tính đến năm 2022, dịch vụ bảo hiểm phi tập trung đã bồi thường tổng cộng 11,5 triệu USD. Ngày càng nhiều nhà đầu tư đang chuyển sang các dịch vụ bảo hiểm nhằm giảm thiểu rủi ro và bảo vệ tài sản của họ.
Dịch vụ bảo hiểm phi tập trung có thể cung cấp dịch vụ bảo vệ trước các rủi ro vốn có của tài sản mã hóa. Khi ngày càng nhiều người dùng tham gia thị trường mã hóa, nhu cầu về sản phẩm bảo hiểm rủi ro được dự đoán sẽ tăng lên. Các sản phẩm bảo hiểm này có mức phí bảo hiểm dao động từ 0,2% đến 0,9% mỗi tháng, hiện đang trong tình trạng cung không đủ cầu, nhiều dịch vụ bảo hiểm đã bán hết. Hiện nay, bảo hiểm mã hóa vẫn đang ở giai đoạn sơ khai, còn nhiều điểm cần cải thiện như tính thanh khoản, hiệu quả vốn, khả năng sử dụng sản phẩm và chi phí, nhưng những điểm này được kỳ vọng sẽ có tiến triển trong năm 2023.
Tổng thể而言,năm nay ngành Web3 sẽ tiếp tục nỗ lực mạnh mẽ trên cả hai phương diện: công nghệ an ninh mã hóa và cơ chế an ninh mã hóa. Hơn nữa, chịu ảnh hưởng từ đặc tính phi tập trung của Web3, các đổi mới về an ninh mã hóa được thực hiện trong môi trường công khai, mã nguồn mở, cho phép chúng ta theo dõi tiến độ và hiệu quả thực tế một cách kịp thời, từ đó giải quyết hiệu quả các vấn đề an ninh Web3. Về một mặt nào đó, sự thành công của Web3 phụ thuộc vào việc nó đổi mới như thế nào ở tầng an ninh, từ đó giải quyết các thử thách an ninh mới do các kiến trúc ứng dụng khác nhau mang lại, tức là cung cấp mức độ bảo vệ cao hơn cho tầng ứng dụng, đồng thời mang lại cảm giác an toàn nhiều hơn cho người dùng hệ sinh thái.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@OurTinTinLand
