
Nói về những sự kiện hacker | Tổng hợp tập 5 ChainBreaker Podcast
Tuyển chọn TechFlowTuyển chọn TechFlow

Nói về những sự kiện hacker | Tổng hợp tập 5 ChainBreaker Podcast
Trong buổi livestream này, ông Phan Chí Hùng, Giám đốc Nghiên cứu của ChainNews, đã kết nối cùng Ông Block Chris (Mr. Block Chris) và Winkrypto Max để thảo luận sâu sắc về chủ đề nóng "Cùng nhau trò chuyện về những sự việc liên quan đến hacker".

Dưới đây là bản tóm tắt quan điểm từ buổi phát trực tiếp này.
Giới thiệu bối cảnh
Tuần trước, thế giới DeFi khá bất ổn, các dự án như Poly Network và sàn giao dịch phi tập trung Ref.Finance thuộc hệ sinh thái NEAR lần lượt bị tấn công bởi hacker, với số tiền thất thoát dao động từ hàng triệu đến hàng trăm triệu USD. Chúng tôi sẽ điểm lại một vài sự kiện tiêu biểu, thảo luận nguyên nhân tại sao các vụ tấn công liên tục xảy ra và cách chúng ta nên ứng phó.
Ông Khối (Mr. Block) Chris
Phần lớn các nhà phát triển không giống như mọi người tưởng tượng là biết tất cả mọi thứ. Nhiều lập trình viên cũng giống như những người đầu cơ, chỉ muốn kiếm tiền nhanh mà không suy xét kỹ lưỡng về các điểm có thể bị tấn công. Vì vậy, ngay cả khi một dự án đã trải qua nhiều lần kiểm toán, thì cũng không đảm bảo tuyệt đối an toàn. Hiện tại, các dự án tương đối an toàn chủ yếu vẫn là những dự án lớn như Aave, Curve, Compound.
Cần hết sức cảnh giác với các mức lợi suất năm cực cao. Một số dự án có lợi suất cao, sau khi khai thác được hai ba ngày, có thể gặp tình trạng giá token sụt giảm mạnh hoặc bị tấn công trực tiếp.
Rất nhiều dự án tốt dành thời gian dài để cải thiện tính bảo mật thay vì dồn sức vào quảng bá. Với những dự án quá chú trọng truyền thông hoặc tiến triển quá nhanh, cần đặc biệt thận trọng vì rủi ro tiềm tàng rất lớn. Một khi một dự án đã bị tấn công dù chỉ một lần, niềm tin của người dùng vào toàn bộ dự án sẽ giảm mạnh.
Về kiểm toán an ninh, các dự án được kiểm toán bởi các công ty nổi tiếng cũng không nhất thiết là hoàn toàn an toàn. Khi DeFi trở nên nóng sốt, các công ty kiểm toán nhận được quá nhiều đơn hàng, dẫn đến việc họ không thể thực hiện kiểm toán một cách nghiêm túc. Phần lớn các hợp đồng hiện nay đều là dạng fork (nhân bản), ví dụ như công ty kiểm toán từng kiểm tra Uniswap, giờ có tới 100 công ty khác fork lại Uniswap, công ty kiểm toán có thể cho rằng tất cả đều giống nhau, chỉ kiểm tra mang tính hình thức rồi đưa ra báo cáo. Nhưng nếu dự án bị kiểm toán có chỉnh sửa gì đó, rất có thể công ty kiểm toán sẽ không phát hiện ra. Hơn nữa, nhiều công ty thực hiện kiểm toán không phải vì mục đích bảo mật mà nhằm phục vụ truyền thông. Những công ty kiểm toán lớn danh tiếng có thể không làm cẩn thận do khối lượng dự án quá lớn. Vì vậy, nhiều dự án nên tìm đến các công ty kiểm toán địa phương, ít đơn hàng hơn – họ có thể sẽ tận tâm và trách nhiệm hơn.
Pan Zhixiong - ChainNews
Đối với các bên vận hành giao thức DeFi, làm thế nào để tăng cường tính an toàn? Trước tiên, việc mới ra mắt giao thức cần có từ 1 đến 2 cuộc kiểm toán an ninh là điều cần thiết, vì kiểm toán có thể phát hiện một số vấn đề phổ biến. Ngoài ra, có thể khởi động chương trình thưởng lỗ hổng (bug bounty) trước khi chính thức lên mainnet. Thông thường, các giao thức sẽ thử nghiệm trên mạng testnet trước khi triển khai chính thức, nhưng điểm yếu ở chỗ testnet không có phần thưởng. Ngay cả khi hacker phát hiện ra lỗ hổng, họ cũng không có động lực để tấn công hay báo lại cho nhà phát triển. Tuy nhiên, những lỗ hổng này sẽ tồn tại khi giao thức chuyển sang mainnet. Khi lượng vốn trong dự án ngày càng lớn, hacker sẽ bắt đầu quan tâm và tấn công.
Đối với người dùng, trước tiên cần hiểu rõ khẩu vị rủi ro của bản thân. Thứ hai, cần phân tán vốn, không nên đặt toàn bộ số tiền lớn vào cùng một giao thức. Đồng thời, cần nhận thức rõ rằng DeFi hiện vẫn đang ở giai đoạn sơ khai. Số lượng giao thức được kiểm thử lâu dài như Uniswap, Curve, Compound, Aave là rất ít. Chỉ có một vài giao thức trải qua kiểm tra nghiêm ngặt. Các giao thức mới luôn tiềm ẩn rủi ro nhất định, không nên vội vàng tham gia.
Câu hỏi từ người dùng
1. Hacker sử dụng hợp đồng để thao tác, đánh cắp lượng lớn tài sản, liệu có vi phạm đạo đức hay pháp luật hay không? Nếu trong sự kiện Poly, hacker cuối cùng không hoàn trả tiền, thì sự đồng thuận trên blockchain sẽ giải quyết vấn đề này ra sao? Phiên tòa sẽ diễn ra ở quốc gia nào, hay cơ quan thực thi pháp luật nào sẽ điều tra?
Pan Zhixiong - ChainNews:
Câu hỏi đầu tiên: đúng là tất cả các hợp đồng đều mã nguồn mở và ai cũng có thể xem được. Tuy nhiên mỗi hợp đồng đều có logic nghiệp vụ riêng và mục tiêu hoạt động cụ thể, cung cấp những dịch vụ nhất định. Tất nhiên, các dịch vụ này đi kèm theo những giới hạn nhất định – không thể lấy được những gì vượt quá quyền hạn của mình. Ví dụ khi thao tác với pool thanh khoản, cần có các logic nhất định để đảm bảo an toàn cho tài sản trong pool. Nhưng nhà phát triển có thể mắc sai sót khi triển khai logic nghiệp vụ chi tiết – chẳng hạn viết thiếu, viết sai hoặc tạo ra một lỗi (bug). Trong trường hợp này, nếu hacker tìm ra lỗ hổng trong logic nghiệp vụ hoặc điểm giao giữa logic nghiệp vụ và mã code, từ đó khai thác lợi nhuận, thì hành động này dù xét trên phương diện đạo đức hay pháp lý đều là không hợp lý.
Câu hỏi thứ hai: nếu hacker cuối cùng không hoàn trả tiền, rất nhiều nạn nhân có thể trực tiếp tìm đến đội ngũ O3 hoặc Poly Network vì họ là đơn vị vận hành dự án – tức là dự án do họ quản lý đã xảy ra sự cố.
Ông Khối (Mr. Block) Chris:
Trong tương lai có thể xuất hiện một DAO đóng vai trò như chính phủ hoặc cảnh sát, nơi mọi người góp vốn vào một nơi duy nhất để toàn diện kiểm tra các hợp đồng trên thị trường, thậm chí có thể chấm điểm độ an toàn hoặc hỗ trợ vá lỗ hổng. Hiện nay thế giới DeFi còn thiếu một tổ chức tự trị như vậy.
2. Sàn IDO có thể làm gì để kiểm soát rủi ro và nâng cao chất lượng dự án?
Pan Zhixiong - ChainNews:
Đối với một sàn IDO, họ có thể thực hiện kiểm tra sơ bộ đơn giản: tìm hiểu xem dự án kinh doanh cái gì, đội ngũ gồm những ai, vận hành ra sao. Tuy nhiên, sàn IDO không có năng lực kiểm toán chuyên sâu, họ chủ yếu dựa vào báo cáo kiểm toán từ các công ty kiểm toán để đánh giá mức độ an toàn của dự án.
Về ChainBreaker
Chuỗi phát trực tiếp "ChainBreaker" do công ty tiếp thị tích hợp blockchain toàn cầu Winkrypto khởi xướng, kết hợp cùng blogger video nổi tiếng Mr.Block (Ông Khối) - kênh YouTube có trên 10.000 người đăng ký theo dõi và nền tảng nội dung blockchain tiếng Trung hàng đầu ChainNews (Luyện Văn). Mục tiêu của chương trình là lắng nghe, giao tiếp và kết nối cộng đồng tiền mã hóa trong và ngoài nước. Vào lúc 20:00 mỗi tối thứ Sáu, "ChainBreaker" sẽ mời các nhân vật lãnh đạo trong ngành từ khắp nơi trên thế giới để thảo luận các chủ đề nóng trong lĩnh vực tiền mã hóa, chia sẻ xu hướng phát triển công nghệ và tiết lộ những tin đồn thú vị trong thế giới crypto. Người tham gia tích cực vào phần hỏi đáp trực tiếp còn có cơ hội nhận được NFT Ticket độc quyền "ChainBreaker Podcast" và các phần thưởng bí mật khác.
Theo dõi kênh và xem lại các tập trước:
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














