Làm rõ hai mạch ngầm trong thế giới an toàn Web3 với hệ thống an ninh của OKX làm mẫu
Tuyển chọn TechFlowTuyển chọn TechFlow
Làm rõ hai mạch ngầm trong thế giới an toàn Web3 với hệ thống an ninh của OKX làm mẫu
Bài viết này sẽ lấy OKX - một nền tảng coi an toàn là nguyên lý thiết kế sản phẩm hàng đầu - làm ví dụ, để phân tích hệ thống bảo mật của ví Web3 và sàn giao dịch tập trung (CEX) OKX một cách bài bản và có hệ thống.
Chuyên sâu báo cáo Web3Nói đến an toàn thì không thể tách rời từ trái nghĩa của nó là rủi ro.
Gần đây, các sự cố an ninh như việc bị hack MIxin, CoinEx và ví nóng HTX bị tấn công đã khiến nhà đầu tư một lần nữa tập trung sự chú ý vào vấn đề an toàn trong ngành.
Theo thống kê từ PeckShield, tính đến ngày 25 tháng 9, tổng thiệt hại từ mười vụ tấn công lớn nhất bao gồm: Mixin (mất 200 triệu USD), Euler Labs (mất 197 triệu USD, hacker đã hoàn trả), Vyper/Curve (mất 73,6 triệu USD, hacker hoàn trả 52,3 triệu USD), CoinEx (mất 70 triệu USD), Atomic Wallet (mất 65 triệu USD), Stake (mất 41 triệu USD), CoinsPaid (mất 37,7 triệu USD), Poly Network (mất 26 triệu USD), low-carb-crusader (mất 25 triệu USD) và lừa đảo钓鱼 nhằm vào các cá voi lớn (mất 24 triệu USD)... tổng tổn thất không dưới 600 triệu USD.
Trong thế giới tiền mã hóa – khu rừng tối tăm này, các rủi ro như tấn công tin tặc, lừa đảo钓鱼 luôn xảy ra mọi lúc, mọi nơi.
Bài viết này sẽ lấy OKX – nền tảng lấy an toàn làm nguyên lý thiết kế sản phẩm hàng đầu – làm mẫu để phân tích hệ thống an toàn toàn diện của ví Web3 và sàn giao dịch CEX OKX, từ đó đào sâu vào bản chất của thế giới an toàn Web3 thông qua những gì đội ngũ thực hiện, suy nghĩ và hướng tới.
Về an toàn ví: Nhận diện, đánh dấu và ngăn chặn rủi ro thời gian thực là chìa khóa
Theo báo cáo an toàn ngành Web3.0 quý II năm 2023 do CertiK công bố, có tổng cộng 212 sự cố an toàn được phát hiện, các hành vi ác ý như hacker đã rút đi 310 triệu USD giá trị token từ ngành Web3.0. Điều này cho thấy mức độ nghiêm trọng của vấn đề an toàn tài sản trên chuỗi.
Lấy ví dụ tài khoản EOA Ethereum thường dùng, nói chung chỉ khi mất khóa riêng, sử dụng hàm approve cấp quyền cho hợp đồng độc hại hoặc ký thông điệp chuyển coin độc hại thông qua chức năng permit thì tài sản mới có khả năng bị rút đi.
Vấn đề mất khóa riêng phần lớn xuất phát từ kinh nghiệm người dùng còn non nớt dẫn đến mất cụm từ khôi phục – tình trạng này phổ biến ở những người mới vào nghề; mặt khác cũng có thể do người dùng tự điền khóa riêng hay cụm từ khôi phục khi đăng nhập vào website giả mạo để nhận airdrop. Hai trường hợp này rất phổ biến. Tất nhiên, cũng có trường hợp tải phải ví độc hại hoặc máy tính/điện thoại chứa ví bị nhiễm mã độc dẫn đến bị hacker kiểm soát. Tuy nhiên, nếu chỉ cần tải phần mềm từ trang web chính thức, cập nhật phiên bản mới nhất kịp thời và có kiến thức cơ bản về an ninh mạng thì khả năng dính mã độc là rất thấp.
Đối với vấn đề mất khóa riêng do thiếu kinh nghiệm người dùng, OKX Web3 Wallet đã ra mắt ví MPC không cần khóa riêng để giúp người dùng tránh rủi ro.
MPC (Multi-Party Computation - Tính toán đa bên) có thể hiểu đơn giản là ví đa chữ ký. Ví MPC Web3 OKX sử dụng công nghệ MPC để chia nhỏ khóa riêng thành ba phần, lần lượt được lưu trữ bởi sàn OKX, thiết bị người dùng và bản sao lưu đám mây (iCloud/Google Drive). Khi tạo ví, người dùng chỉ cần đăng nhập ứng dụng OKX, chọn tạo địa chỉ theo phương thức ví không cần khóa riêng và bật chức năng sao lưu đám mây để lưu trữ phần thứ ba, không cần tự tay bảo quản cụm từ khôi phục. Khi thực hiện giao dịch cần có 2/3 mảnh ghép mới hoàn tất xác thực chữ ký, trong suốt quá trình giao dịch tuyệt đối không xuất hiện dạng rõ khóa riêng. Giải pháp này phần nào giải quyết được vấn đề rò rỉ khóa riêng gây mất an toàn tài sản. Ngoài ra, OKX còn trang bị chức năng thoát hiểm khẩn cấp cho ví MPC: khi gặp tình huống bất thường, người dùng chỉ cần nhập mật khẩu sao lưu đám mây tại cửa thoát hiểm khẩn cấp là có thể nhanh chóng lấy lại khóa riêng và di chuyển tài sản – vừa an toàn vừa tiện lợi.
Các vấn đề an toàn liên quan cụm từ khôi phục do thiếu kinh nghiệm thường xảy ra nhiều ở nhóm người mới. Với người dùng đã có kinh nghiệm tương tác, rủi ro chủ yếu nằm ở hai bước approve cấp quyền và ký permit, ví dụ như rủi ro phishing đã nêu trên.
Hàm approve là một phần quan trọng trong tương tác trên chuỗi, cho phép hợp đồng gọi hàm transferFrom để chuyển tài sản trong địa chỉ theo quy tắc được định sẵn trong mã hợp đồng. Một khi approve cấp quyền cho hợp đồng độc hại, tài sản có nguy cơ cao bị đánh cắp.
Rủi ro ký phát sinh chủ yếu từ chức năng mở rộng permit của chuẩn ERC20, cho phép người dùng hoàn tất thao tác ủy quyền bằng cách ký tin nhắn, rồi gửi kết quả chữ ký đến ví khác để thực hiện chuyển tài sản. Thường thấy khi người dùng sử dụng chức năng đặt lệnh DEX, ví dụ như tính năng Fusion của 1inch: người dùng ký tin nhắn lệnh, sau đó có thể ủy thác tài sản cho 1inch xử lý mà không cần trả phí gas, tiếp đó 1inch sẽ cung cấp đồng tiền mà người dùng muốn mua. Trong quá trình này, nếu một trang web nào đó giả mạo tin nhắn độc hại yêu cầu người dùng ký, hậu quả rất có thể sẽ đáng tiếc.
Do đó, giám sát rủi ro trở nên đặc biệt quan trọng.
Đội ngũ OKX Web3 đã phát triển trang quản lý ủy quyền tổng hợp, cho phép người dùng trực tiếp xem tình trạng ủy quyền theo giao thức và loại tiền, đồng thời hủy bỏ ủy quyền ngay tại trang này để phòng tránh rủi ro không cần thiết. Đối với các hợp đồng rủi ro độc hại, ví OKX Web3 sử dụng hệ thống KYT Tianyan (Thiên Nhãn) để hỗ trợ người dùng phát hiện rủi ro. Hiện hệ thống này đã thu thập hơn 300 triệu địa chỉ tiền mã hóa, có thể hiệu quả phát hiện và cảnh báo tự động khi người dùng liên quan đến địa chỉ độc hại hoặc giao dịch đáng ngờ (như mô hình Píxiao, phishing...).
Neil, người phụ trách kiến trúc an toàn của đội ngũ OKX Web3, cho biết: sắp tới OKX sẽ xử lý phân tầng nhãn địa chỉ – địa chỉ trắng được nhắc nhở thông thường, địa chỉ xám được cảnh báo rủi ro thông thường, địa chỉ đen sẽ bị chặn trực tiếp. Trong tương lai, đội ngũ sẽ tiếp tục xây dựng mạnh mẽ trên các phương diện như phòng ngừa rủi ro, dọn dẹp rủi ro, đảm bảo an toàn cuối cùng và giáo dục người dùng, nhằm tăng cường hệ thống bảo vệ an toàn, kiên định làm người lính canh an toàn cho người dùng.
Thực tế, ngoài các rủi ro tiềm ẩn trong môi trường tương tác, an toàn bản thân ví cũng rất quan trọng. Hiện tại, ví OKX Web3 đã hoàn thành việc mở mã nguồn toàn diện SDK ký đa chuỗi, thuật toán cốt lõi ví MPC không cần khóa riêng, ví AA và BRC20-S. Việc mở mã nguồn mang ý nghĩa thúc đẩy minh bạch, đáng tin cậy cho sản phẩm, đồng thời thông qua sự "đánh giá" của cộng đồng chuyên môn để thúc đẩy giao lưu giữa các nhà phát triển và hợp tác mở, từ đó góp phần phát triển tiến bộ công nghệ Web3.
Tất nhiên, ngoài các rủi ro trên chuỗi, các rủi ro hệ thống như sụp đổ các nền tảng tập trung FTX còn đáng lo ngại hơn.
Về an toàn CEX: trọng tâm là tự giám sát và xây dựng hệ thống kiểm soát rủi ro vững chắc
Từ Fcoin bỏ chạy đến FTX vỡ nợ, trong vài năm qua, không ít sàn CEX đã không thoát khỏi lời nguyền sụp đổ. Nguyên nhân chủ yếu là do quản lý nội bộ kém trong bối cảnh tăng trưởng nhanh và ý thức trách nhiệm doanh nghiệp lệch pha, nhưng sâu xa hơn vẫn là do bản chất con người.
Do đó, tự kiềm chế, tự giám sát trở thành điều bắt buộc đối với các sàn CEX.
Từ cuối năm ngoái, các doanh nghiệp hàng đầu trong ngành lần lượt khởi động chế độ tự giám sát, thông qua các cơ chế như POR để nâng cao tính minh bạch về vốn, công khai tình hình tiền của người dùng lên chuỗi.
Theo thông tin chính thức, OKX đã liên tục công bố bằng chứng dự trữ (POR) trong 11 tháng, tỷ lệ dự trữ của 22 loại tiền công bố đều vượt quá 100%, trong đó BTC, ETH, USDT lần lượt đạt 102%, 103% và 102%, tổng giá trị lên tới 11,2 tỷ USD – là một trong số ít các sàn giao dịch tiền mã hóa chính thống công bố POR theo tháng. Người trong cuộc cho biết, OKX cam kết đưa mức độ minh bạch POR lên tiêu chuẩn kiểm toán tài chính truyền thống, sẽ tiếp tục dẫn dắt ngành về an toàn và minh bạch, hiện đã nâng cấp hệ thống POR bằng các công nghệ sáng tạo như zk-STARK, người dùng có thể tự kiểm tra độc lập khả năng thanh toán của OKX bất kỳ lúc nào. Tính đến nay, đã có hàng chục nghìn người dùng truy cập trang POR và hoàn tất tự kiểm tra.
Nói về an toàn CEX thì không thể tránh khỏi điểm yếu bản chất con người, nhưng điều này khó có thể khắc phục trong ngắn hạn. Với người dùng thông thường, điều quan trọng hơn cả là làm sao để đảm bảo an toàn tài sản khi xảy ra sự kiện cực đoan? Với nền tảng, cần nhận thức rõ ràng rằng giúp người dùng "bảo toàn bản thân trong khủng hoảng" mới là năng lực cạnh tranh cốt lõi.
Sự kiện sụp đổ Luna, hệ thống kiểm soát rủi ro OKX ngay lập tức kích hoạt cơ chế tự động hoàn vốn, giúp người dùng tham gia sản phẩm tài chính UST thoát nạn thành công; trong sự kiện rò rỉ dữ liệu API 3Commas, OKX là nền tảng duy nhất trong số các sàn hợp tác với 3Commas đạt mức 0 tổn thất người dùng và hệ thống an toàn hoàn chỉnh nhất. Trước vô số thử thách, OKX luôn thể hiện được "bản lĩnh" vững vàng.
Có thể nhiều lần vượt qua sóng gió, cốt lõi nằm ở việc đội ngũ OKX luôn chủ động mô phỏng trước các rủi ro tiềm tàng, đầu tư rất nhiều thời gian và công sức vào việc xây dựng và cải tiến hệ thống kiểm soát rủi ro. Người phụ trách hệ thống kiểm soát rủi ro cho biết: "Hệ thống API OKX sở hữu các chức năng cốt lõi mạnh mẽ như Fast API, danh sách trắng IP, chống gian lận và danh sách trắng bên thứ ba – dù tin tặc có xâm nhập được khóa API cũng không thể dễ dàng sử dụng. Mặc dù người dùng thường không cảm nhận được sự tồn tại của các biện pháp này, nhưng chúng luôn âm thầm phát huy tác dụng đúng lúc."
Quả thật vậy, an toàn không cần những câu chuyện hấp dẫn, bản chất vẫn nằm ở việc nền tảng có thể kiên trì giữ vững ý thức trách nhiệm hay không – điều này dường như cần một điểm tựa. Người phụ trách坦言 rằng điểm tựa ý thức trách nhiệm của OKX chính là mong muốn thúc đẩy "công nghệ hướng thiện" đơm hoa kết trái trong Web3.
Trở lại bản chất vấn đề an toàn
Khi ngành phát triển, các dạng vấn đề an toàn sẽ ngày càng nhiều, đặc biệt trong môi trường thị trường hiện tại, không ít hacker đang nhắm mục tiêu vào thế giới tiền mã hóa. Với những người bảo vệ an toàn, thách thức cũng sẽ ngày càng gia tăng. Có lẽ chỉ có niềm tin như vậy mới đủ để thúc đẩy OKX tiến lên không ngừng.
Thông qua việc phân tích hệ thống an toàn của OKX, ta có thể thấy rõ cách làm và triết lý của họ trong vấn đề an toàn Web3. Họ đã làm rõ hai mạch phát triển chính trong thế giới an toàn Web3, đồng thời đã thiết lập hàng rào vững chắc dọc theo hai mạch này. Chúng ta có lý do tin rằng OKX có thể đảm nhận tốt vai trò người lính canh an toàn cho thế giới Web3 trong tương lai.
Dù vấn đề an toàn cuối cùng luôn quay về câu hỏi lòng người hướng thiện hay hướng ác, nhưng với tư cách người dùng bình thường, chúng ta thực sự khó có thể phân biệt, chỉ có thể cố gắng nâng cao ý thức phòng ngừa an toàn, tận khả năng lựa chọn các nền tảng có tầm ảnh hưởng lớn, bởi vì ảnh hưởng càng lớn thì càng trân trọng danh tiếng bản thân, tự nhiên càng kiên trì giữ niệm lành.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
OKX
