
BitsLab công bố nghiên cứu trọng điểm về an ninh: Toàn cảnh an toàn của các chuỗi công khai mới nổi năm 2024
Tuyển chọn TechFlowTuyển chọn TechFlow

BitsLab công bố nghiên cứu trọng điểm về an ninh: Toàn cảnh an toàn của các chuỗi công khai mới nổi năm 2024
Báo cáo tập trung vào bốn lĩnh vực chính là Move, TON, mở rộng Bitcoin và chuỗi ứng dụng Cosmos, phân tích chi tiết từ ba khía cạnh: đổi mới công nghệ, thách thức an toàn và các sự cố an toàn trong lịch sử.

Báo cáo tập trung vào 4 hướng chính gồm Move, TON, mở rộng Bitcoin và chuỗi ứng dụng Cosmos, phân tích chi tiết từ ba khía cạnh: đổi mới công nghệ, thách thức an ninh và các sự cố an toàn trong lịch sử, cung cấp những kinh nghiệm và định hướng suy ngẫm cho nhà đầu tư, lập trình viên và hacker mũ trắng:

Hệ sinh thái Move (Aptos, Sui, v.v.)
Báo cáo giới thiệu cách ngôn ngữ Move cách mạng hóa lập trình hợp đồng thông minh qua quản lý tài nguyên, thiết kế mô-đun và cơ chế bảo mật tích hợp, đồng thời đi sâu phân tích các điểm đổi mới và kiến trúc an toàn riêng biệt của Aptos và Sui.
Ngôn ngữ Move ban đầu được Facebook (nay là Meta) phát triển cho dự án Diem (Libra), nhằm giải quyết các nút thắt về hiệu suất và an toàn của các ngôn ngữ hợp đồng thông minh truyền thống. Thiết kế của Move nhấn mạnh tính rõ ràng và an toàn của tài nguyên, đảm bảo mọi thay đổi trạng thái trên blockchain đều kiểm soát được. Ngôn ngữ lập trình sáng tạo này sở hữu những lợi thế nổi bật sau:
Mô hình quản lý tài nguyên: Move coi tài sản như một loại tài nguyên, không thể sao chép hay hủy bỏ. Mô hình quản lý tài nguyên độc đáo này giúp tránh được các vấn đề phổ biến như thanh toán kép hoặc vô tình xóa tài sản trong hợp đồng thông minh.
Thiết kế mô-đun: Move cho phép xây dựng hợp đồng thông minh theo cách mô-đun, nâng cao khả năng tái sử dụng mã nguồn và giảm độ phức tạp khi phát triển.
An toàn cao: Move tích hợp sẵn nhiều cơ chế kiểm tra an toàn ở cấp độ ngôn ngữ, ngăn chặn các lỗ hổng bảo mật thường gặp như tấn công đệ quy lồng nhau (reentrancy attacks).
Ngoài ra, báo cáo còn điểm lại các sự kiện an toàn điển hình xảy ra trên Máy ảo Move và mạng Aptos từ năm 2023 đến cuối năm 2024, nhắc nhở cộng đồng cảnh giác với các rủi ro tiềm tàng như lỗ hổng DoS do đệ quy vô hạn, lỗi cơ chế loại bỏ khỏi mempool, v.v.
Xem lại chi tiết các sự cố an toàn hệ sinh thái Move, vui lòng tải báo cáo để đọc
Hệ sinh thái TON
TON (The Open Network) là một blockchain và giao thức truyền thông kỹ thuật số do Telegram tạo ra, nhằm xây dựng nền tảng blockchain nhanh chóng, an toàn và có khả năng mở rộng, cung cấp các ứng dụng và dịch vụ phi tập trung cho người dùng. Bằng cách kết hợp công nghệ blockchain với chức năng truyền thông của Telegram, TON đạt được hiệu suất cao, độ an toàn và khả năng mở rộng vượt trội. Nó hỗ trợ các nhà phát triển xây dựng nhiều loại ứng dụng phi tập trung (dApp) và cung cấp giải pháp lưu trữ phân tán. So với các nền tảng blockchain truyền thống, TON có tốc độ xử lý và thông lượng giao dịch nhanh hơn, đồng thời áp dụng cơ chế đồng thuận Proof-of-Stake.
TON sử dụng cơ chế đồng thuận Proof-of-Stake và đạt được hiệu suất cao cùng tính năng đa dạng nhờ hợp đồng thông minh Turing-complete và kiến trúc blockchain bất đồng bộ. Giao dịch siêu nhanh, chi phí thấp của TON được hỗ trợ bởi kiến trúc linh hoạt, có khả năng phân mảnh (sharding). Kiến trúc này cho phép mở rộng dễ dàng mà không làm giảm hiệu suất. Phân mảnh động bao gồm các phân mảnh riêng biệt được phát triển ban đầu cho từng mục đích cụ thể, có thể chạy song song và ngăn tắc nghẽn quy mô lớn. Thời gian khối của TON là 5 giây, thời gian xác nhận cuối cùng dưới 6 giây.
Cơ sở hạ tầng hiện tại được chia thành hai phần chính:
● Chuỗi chính (Masterchain): Chịu trách nhiệm xử lý tất cả dữ liệu quan trọng và then chốt của giao thức, bao gồm địa chỉ của các trình xác thực và số lượng coin đã được xác thực.
● Chuỗi công tác (Workchain): Là các chuỗi phụ kết nối với chuỗi chính, chứa tất cả thông tin giao dịch và các hợp đồng thông minh khác nhau, mỗi Workchain có thể có các quy tắc riêng biệt.
Quỹ TON là một tổ chức DAO do cộng đồng cốt lõi vận hành, cung cấp hỗ trợ đa dạng cho các dự án trong hệ sinh thái TON, bao gồm hỗ trợ nhà phát triển và chương trình khuyến khích thanh khoản. Báo cáo chi tiết quá trình TON đạt được tiến triển đáng kể trên nhiều phương diện trong năm 2024, đồng thời cũng hé lộ lỗ hổng gần đây khi các hợp đồng độc hại có thể làm cạn kiệt tài nguyên máy ảo thông qua cấu trúc lồng ghép, cảnh báo các bên liên quan cần tiếp tục tăng cường kiểm toán an toàn hợp đồng.
Xem thêm nội dung chi tiết hệ sinh thái TON, vui lòng tải báo cáo
Hệ sinh thái mở rộng Bitcoin
Bao gồm các giải pháp Layer 2 và sidechain như Mạng sét (Lightning Network), Liquid Network, Rootstock (RSK), B² Network, Stacks – đang thúc đẩy đột phá về mở rộng giao dịch và khả năng lập trình trên Bitcoin. Mạng sét nâng cao hiệu quả giao dịch, Liquid Network tăng tốc giao dịch giữa các tổ chức, còn Rootstock kết hợp tính bảo mật với hợp đồng thông minh để mở rộng hệ sinh thái dApp. Ngoài ra, B² Network và Stacks tiếp tục mở rộng chức năng và phạm vi ứng dụng của Bitcoin.
Mạng sét là một trong những giải pháp Layer 2 của Bitcoin trưởng thành và phổ biến nhất. Thông qua việc thiết lập kênh thanh toán, nó chuyển hàng loạt giao dịch nhỏ từ chuỗi chính ra ngoài chuỗi, từ đó nâng cao đáng kể tốc độ giao dịch và giảm phí trên Bitcoin.

Nguồn ảnh: https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
Liquid Network là một sidechain hoạt động trên nền tảng blockchain mã nguồn mở Elements, được thiết kế đặc biệt để tăng tốc giao dịch giữa các sàn giao dịch và tổ chức. Nó được quản trị bởi một liên minh phân tán gồm các công ty Bitcoin, sàn giao dịch và các bên liên quan khác. Liquid sử dụng cơ chế neo hai chiều (two-way peg) để chuyển BTC thành L-BTC và ngược lại.

Nguồn ảnh: https ://docs.liquid.net/docs/technical-overview
Rootstock, ra đời từ năm 2015, là sidechain lâu đời nhất của Bitcoin và đã khởi chạy mainnet vào năm 2018. Điểm độc đáo của nó nằm ở việc kết hợp độ bảo mật Proof-of-Work (PoW) của Bitcoin với các hợp đồng thông minh kiểu Ethereum. Là một giải pháp Layer 2 mã nguồn mở, tương thích với EVM, Rootstock cung cấp cổng vào cho hệ sinh thái dApp ngày càng phát triển, và hướng tới mục tiêu hoàn toàn phi tin cậy (trustless).
Kiến trúc công nghệ của B² Network bao gồm hai lớp: lớp Rollup và lớp Khả dụng Dữ liệu (DA). B² Network nhằm định nghĩa lại nhận thức của người dùng về các giải pháp lớp 2 trên Bitcoin.
Từ khi ra mắt mainnet vào năm 2018 dưới tên Blockstack, Stacks đã trở thành giải pháp Layer 2 hàng đầu trên Bitcoin. Stacks kết nối trực tiếp với Bitcoin, cho phép xây dựng hợp đồng thông minh, dApp và NFT trên Bitcoin, mở rộng đáng kể chức năng của Bitcoin, khiến nó không chỉ đơn thuần là công cụ lưu trữ giá trị. Nó sử dụng cơ chế đồng thuận Chứng minh Chuyển giao (Proof-of-Transfer - PoX) độc đáo, liên kết trực tiếp độ bảo mật của mình với Bitcoin mà không cần thay đổi bản thân Bitcoin.

Nguồn ảnh: https ://docs.stacks.co/stacks-101/proof-of-transfer
Tầm nhìn của Babylon là mở rộng độ bảo mật của Bitcoin để bảo vệ thế giới phi tập trung. Bằng cách tận dụng ba khía cạnh của Bitcoin — dịch vụ dấu thời gian, không gian khối và giá trị tài sản — Babylon có thể truyền tải độ bảo mật của Bitcoin sang nhiều chuỗi Proof-of-Stake (PoS), từ đó tạo ra một hệ sinh thái mạnh mẽ và thống nhất hơn.

Dù các công nghệ này mang lại nhiều tiềm năng cho hệ sinh thái Bitcoin, chúng cũng đối mặt với các thách thức như "tấn công vòng lặp thay thế" trên Mạng sét, lỗi tính toán UTXO, rủi ro cơ chế hoàn tác PoW, v.v.
Đọc toàn văn báo cáo để biết thêm chi tiết về hệ sinh thái Bitcoin
Hệ sinh thái chuỗi ứng dụng Cosmos
Với cốt lõi là đồng thuận Tendermint, SDK Cosmos và giao tiếp liên chuỗi IBC, hệ sinh thái này sở hữu nhiều đổi mới công nghệ trong thiết kế "Internet các blockchain".
Kiến trúc Cosmos sử dụng mô hình Hub và Zone, trong đó Hub (trung tâm) đóng vai trò nút cốt lõi, kết nối và điều phối nhiều Zone (blockchain độc lập). Điểm đổi mới của kiến trúc này nằm ở:
Quản lý phi tập trung: Mỗi Zone là một blockchain độc lập, tự trị, không cần phụ thuộc vào một nút quản lý tập trung nào.
Kết nối liên chuỗi hiệu quả: Thông qua Hub, các Zone có thể giao tiếp và di chuyển tài sản liền mạch, đạt được sự kết nối thực sự.
Báo cáo đi sâu phân tích các nguy cơ an toàn tiềm tàng trên các chuỗi ứng dụng Cosmos, từ thứ tự gọi đa mô-đun đến việc truyền tải thông điệp liên chuỗi, đồng thời đưa ra lời cảnh tỉnh và bài học cho các dự án chuỗi ứng dụng khác thông qua tranh luận về an toàn mô-đun đặt cược thanh khoản (LSM) và các vấn đề trong quy trình quản trị.
Đọc toàn văn báo cáo để biết thêm chi tiết về hệ sinh thái chuỗi ứng dụng Cosmos
Nghiên cứu kết quả về lỗ hổng nhiều năm
Báo cáo liệt kê chi tiết chín loại lỗ hổng an toàn phổ biến trong ngành blockchain. Những lỗ hổng này tồn tại xuyên suốt nhiều tầng công nghệ khác nhau và liên quan đến các thành phần cốt lõi của nhiều hệ sinh thái blockchain, bao trùm từ giao tiếp liên chuỗi đến thiết kế mô hình kinh tế.
1. Lỗ hổng giao tiếp liên chuỗi L2/L1: Giao tiếp liên chuỗi là phương tiện quan trọng để nâng cao khả năng tương tác giữa các hệ sinh thái blockchain, nhưng trong quá trình triển khai cũng tồn tại nhiều mối nguy hiểm. Ví dụ như L2 không tính đến việc hoàn tác khối trên L1, giả mạo sự kiện trên chuỗi, hoặc L2 không kiểm tra xem giao dịch gửi đến L1 có thành công hay không.
2. Lỗ hổng chuỗi ứng dụng Cosmos: Với tư cách là hệ sinh thái lấy khả năng tương tác blockchain làm trung tâm, Cosmos cho phép các blockchain khác nhau kết nối thông qua IBC (giao thức giao tiếp liên chuỗi). Tuy nhiên, trong quá trình triển khai, chuỗi ứng dụng Cosmos cũng có thể tồn tại một số lỗ hổng và rủi ro an toàn, chẳng hạn như lỗi sập BeginBlocker và EndBlocker, sử dụng sai thời gian cục bộ, sử dụng sai số ngẫu nhiên, v.v., tổng cộng 11 lỗ hổng và rủi ro an toàn.
3. Lỗ hổng hệ sinh thái mở rộng Bitcoin: Bao gồm lỗ hổng xây dựng script Bitcoin, lỗ hổng do không tính đến tài sản phái sinh, lỗ hổng lỗi tính toán số tiền UTXO, v.v.
4. Lỗ hổng phổ biến trong ngôn ngữ lập trình (như vòng lặp chết, đệ quy vô hạn, tràn số nguyên, điều kiện đua tranh, v.v.)
5. Lỗ hổng mạng P2P: Mạng P2P (peer-to-peer) trong hệ thống blockchain dùng để kết nối và giao tiếp trực tiếp giữa các nút phân tán. Mặc dù mạng P2P cung cấp nền tảng mạng cho hệ thống phi tập trung, nhưng nó cũng đối mặt với một loạt các loại lỗ hổng phổ biến như lỗ hổng tấn công dị hình (alien attack), thiếu cơ chế mô hình tin cậy, thiếu cơ chế giới hạn số lượng nút, v.v.
6. Tấn công DoS: Bao gồm tấn công làm cạn bộ nhớ, tấn công làm đầy ổ cứng, tấn công làm cạn bộ xử lý nhân hệ thống, rò rỉ bộ nhớ kéo dài, v.v.
7. Lỗ hổng mật mã học: Lỗ hổng mật mã học sẽ làm tổn hại tính bí mật và toàn vẹn dữ liệu, gây ra các mối đe dọa an toàn tiềm tàng cho hệ thống. Các loại lỗ hổng mật mã học chính bao gồm sử dụng các thuật toán băm đã được chứng minh là không an toàn, sử dụng các thuật toán băm tùy chỉnh không an toàn, và va chạm băm do sử dụng không an toàn, v.v.
8. Lỗ hổng an toàn sổ cái: (như lỗ hổng mempool giao dịch, lỗ hổng va chạm hash khối, lỗ hổng logic xử lý khối mồ côi, lỗ hổng va chạm hash cây Merkle, v.v.)
9. Lỗ hổng mô hình kinh tế: Mô hình kinh tế đóng vai trò then chốt trong blockchain và các hệ thống phân tán, ảnh hưởng đến cơ chế khuyến khích, cấu trúc quản trị và tính bền vững tổng thể của mạng. Các lỗ hổng mô hình kinh tế được liệt kê trong báo cáo cần được đặc biệt chú ý.
Đọc toàn văn báo cáo để tìm hiểu chi tiết về các loại lỗ hổng an toàn
Danh sách các bề mặt tấn công phổ biến
Báo cáo cũng liệt kê 13 bề mặt tấn công phổ biến, mỗi khâu đều có thể trở thành điểm đột phá cho tin tặc, rất đáng để các nhà phát triển và dự án đặc biệt lưu tâm:
1. Máy ảo
2. Mô-đun phát hiện nút P2P và đồng bộ dữ liệu
3. Mô-đun phân tích khối
4. Mô-đun phân tích giao dịch
5. Mô-đun giao thức đồng thuận
6. "Các bề mặt tấn công khác xem trong báo cáo"
…
Thực hành tốt nhất về phát triển an toàn
Thông qua việc hồi cố phong phú các trường hợp và thực tiễn phòng thủ - tấn công, báo cáo đúc kết ra các tư duy ứng phó an toàn hệ thống hóa.
Ở cấp độ bảo vệ an toàn, báo cáo đặc biệt đưa ra các đề xuất chi tiết về thực hành tốt nhất trong phát triển chuỗi, bao phủ xử lý khối và giao dịch, máy ảo hợp đồng thông minh, hệ thống nhật ký và giao diện RPC, thiết kế giao thức P2P phòng chống tấn công DoS, mã hóa và xác thực tầng truyền tải, kiểm thử mờ (Fuzzing) và phân tích mã tĩnh, quy trình kiểm toán an toàn bên thứ ba, v.v., nhằm cung cấp hướng dẫn an toàn rõ ràng và khả thi cho toàn vòng đời dự án blockchain.
Nội dung chi tiết về thực hành tốt nhất phát triển an toàn, vui lòng tải báo cáo để xem
Bối cảnh viết báo cáo:
Đầu năm 2025, nhìn lại năm vừa qua, công nghệ blockchain tiếp tục phát triển nhanh chóng trên toàn cầu: từ hiệu suất xử lý giao dịch, tương tác liên chuỗi, đến ngôn ngữ hợp đồng thông minh và các giải pháp mở rộng nút, toàn ngành đang bước vào giai đoạn mới đa dạng và phức tạp hơn. Đồng thời, các hệ sinh thái blockchain mới nổi cũng nhanh chóng trỗi dậy, liên tục dẫn dắt xu hướng công nghệ và sự phát triển thịnh vượng của thế giới Web3 bằng kiến trúc mạng linh hoạt, mô hình lập trình đổi mới và các trường hợp ứng dụng phong phú.
Tuy nhiên, các mối nguy hiểm an toàn cũng không ngừng xuất hiện; một khi bị tấn công hoặc khai thác lỗ hổng, không chỉ gây thất thoát tài sản trên chuỗi mà còn có thể dẫn đến tê liệt mạng, đe dọa sự ổn định của toàn bộ hệ sinh thái blockchain. Vì vậy, tổ chức an toàn hàng đầu toàn cầu, chuyên bảo vệ và xây dựng hệ sinh thái Web3 mới nổi BitsLab đã phát hành重磅 báo cáo "Báo cáo Quan sát Toàn cảnh và Nghiên cứu An toàn Hệ sinh thái Blockchain Mới nổi 2024", nhằm giúp các bên trong ngành dự đoán chính xác rủi ro và xây dựng chiến lược phòng ngừa hiệu quả.
Giới thiệu công ty
BitsLab tập trung lâu dài vào an toàn ngành blockchain và Web3, tích lũy kinh nghiệm kiểm toán và nền tảng công nghệ phong phú. Từ hệ sinh thái Move, mạng TON đến lĩnh vực mở rộng Bitcoin và hệ sinh thái chuỗi ứng dụng Cosmos, BitsLab đã lần lượt cung cấp kiểm toán an toàn và hỗ trợ cơ sở hạ tầng cho nhiều dự án blockchain. Báo cáo lần này vừa là thành quả nghiên cứu và tích lũy thực tiễn không ngừng của BitsLab, vừa là một hướng dẫn chuyên nghiệp dành cho toàn ngành: hy vọng nhiều bên phát triển dự án, tổ chức đầu tư, nhà nghiên cứu và thành viên cộng đồng đọc được báo cáo này, có thể tiến bước vững chắc trong làn sóng công nghệ phát triển nhanh chóng, để thế giới phi tập trung phát triển lành mạnh và bền vững trên cơ sở đảm bảo an toàn.
"Báo cáo Quan sát Toàn cảnh và Nghiên cứu An toàn Hệ sinh thái Blockchain Mới nổi 2024" hiện đã chính thức ra mắt, kính mời bạn đọc quan tâm truy cập phiên bản đầy đủ của báo cáo qua trang web chính thức BitsLab và các nền tảng đối tác, khám phá sâu động thái an toàn blockchain tiên tiến, cùng BitsLab chung tay xây dựng hàng rào vững chắc cho các blockchain mới nổi. Hãy cùng chào đón triển vọng phát triển rộng lớn hơn cho thế giới Web3, góp phần đưa hệ sinh thái phi tập trung hướng tới tương lai thịnh vượng và ổn định hơn!
Nhấp để đọc và tải báo cáo tiếng Trung và tiếng Anh
Giới thiệu về BitsLab
BitsLab là một tổ chức an toàn cam kết bảo vệ và xây dựng hệ sinh thái Web3 mới nổi, với tầm nhìn trở thành tổ chức an toàn Web3 được ngành và người dùng tôn trọng. Tổ chức sở hữu ba thương hiệu con: MoveBit, ScaleBit và TonBit.
BitsLab chuyên về phát triển cơ sở hạ tầng và kiểm toán an toàn cho các hệ sinh thái mới nổi, bao gồm nhưng không giới hạn ở các hệ sinh thái như Sui, Aptos, TON, Linea, BNB Chain, Soneium, Starknet, Movement, Monad, Internet Computer và Solana. Đồng thời, BitsLab thể hiện năng lực chuyên môn sâu rộng trong việc kiểm toán nhiều ngôn ngữ lập trình khác nhau, bao gồm Circom, Halo2, Move, Cairo, Tact, FunC, Vyper, Rust và Solidity.
Đội ngũ BitsLab quy tụ nhiều chuyên gia hàng đầu về nghiên cứu lỗ hổng, từng nhiều lần giành giải thưởng CTF quốc tế và phát hiện các lỗ hổng then chốt trong các dự án nổi tiếng như TON, Aptos, Sui, Nervos, OKX và Cosmos.
Truy cập trang web chính thức BitsLab: https://bitslab.xyz/
Truy cập tài khoản X chính thức của BitsLab và các thương hiệu con:
BitsLab: https://x.com/0xbitslab
MoveBit: https://x.com/MoveBit_
ScaleBit: https://x.com/scalebit_
TonBit: https://x.com/tonbit_
Tham gia nhóm Telegram chính thức BitsLab: https://t.me/BitsLabHQ
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














