Các chuyên gia nhận định về những vụ hack liên tục xảy ra trên thị trường blockchain gần đây, đặc biệt liên quan tới Axie Infinity.
0:00 / 0:00
0:00
Tin tặc coi hệ thống blockchain là miếng mồi ngon để tấn công
Tin tặc coi hệ thống blockchain là miếng mồi ngon để tấn công

Dù còn những ý kiến trái chiều, không thể phủ nhận tiềm năng của blockchain hiện nay. Nhận định về thị trường blockchain tại Việt Nam trong 5 năm tới, ông Nguyễn Việt Dinh - CTO của Symper cho rằng đây là xu hướng đang nở rộ. Khối lượng giao dịch mỗi ngày hàng nghìn tỷ đồng, số người tham gia ít nhất hơn 1 triệu người, số dự án có giá trị hàng triệu USD trở lên cũng rất nhiều. Trong 1 năm qua, có khá nhiều công ty blockchain Việt Nam nằm trong top thế giới.

“Hiện blockchain là xu hướng chung của thế giới. Sắp tới, nếu thị trường chung có đi xuống khi mùa đông tới, thị trường Việt Nam cũng đi xuống theo nhưng về lâu dài sẽ trở thành 1 cộng đồng phát triển mạnh”, ông Dinh nhấn mạnh.

Thị trường blockchain phát triển nóng đi đôi với lo ngại về vấn đề bảo mật. Bởi mục tiêu của hacker là tấn công vào hệ thống giao dịch để có thể lấy đi hàng chục, hàng trăm triệu USD. Đây là “miếng mồi ngon” khiến các dự án blockchain luôn bị tin tặc để ý.

Thị trường blockchain Việt Nam phát triển quá nóng, chưa được chú trọng bảo mật  ảnh 1

Thị trường blockchain Việt Nam phát triển quá nóng, gây ra những bất cập về bảo mật

Đánh giá về vấn đề này, ông Nguyễn Minh Đức - Giám đốc CyRadar kiêm cố vấn SecuriChain, cho biết: “Xu hướng tấn công nhắm vào các dự án blockchain sẽ còn gia tăng. Đây cũng là sự thúc đẩy các dự án quan tâm đến bảo mật hệ thống hơn. Tôi nghĩ theo thời gian, các dự án blockchain còn tồn tại trong thời gian tới sẽ đi vào chất lượng nhiều hơn, quan tâm hơn đến phát triển tính năng, cộng đồng và bảo mật”.

Dù nhiều công ty blockchain nở rộ, Việt Nam lại đang thiếu hụt chuyên gia làm việc trong lĩnh vực bảo mật tiền điện tử, blockchain. Nhu cầu về nhân sự trong mảng này sẽ còn gia tăng và đây là động lực để các tổ chức đào tạo về lập trình đón nhận xu hướng để cung cấp cho thị trường trong thời gian tới.

Ông Nguyễn Việt Dinh đánh giá mảng blockchain trên thế giới có tuổi đời non trẻ. Ở Việt Nam chỉ nở rộ từ năm 2019, 2020 trở lại. Vì thế, những người tham gia vào ngành này đa phần kiếm tiền nhanh, nên tập trung tìm cách thu lợi nhuận chứ không đầu tư cho bảo mật. “Các dự án muốn làm những cái có thể tạo ra lợi ích ngay cho sản phẩm, cộng đồng nên nhân lực cho bảo mật chưa nhiều”.

Vấn đề bảo mật của dự án blockchain càng trở nên thời sự sau sự cố của Axie Infinity. Ronin bridge - cầu nối để người dùng luân chuyển tài sản mã hóa giữa 2 blockchain Ethereum và Ronin Network - bị hack vào hàng loạt server và lấy đi các private key (khóa bí mật). Ít nhất 5/9 server bị hack, từ đó có thể rút tiền từ quỹ của Ronin bridge trên mạng Ethereum. Tổng cộng hacker thực hiện 2 lệnh rút tiền với hơn 600 triệu USD quy đổi.

“Qua 1 vụ hack quá lớn ở Việt Nam, cộng đồng sẽ rút kinh nghiệm, dần dần mọi thứ sẽ tốt lên. Ngay bây giờ nhiều nhà phát triển cũng đang nhìn lại dự án, rà soát xem chỗ nào còn lỗ hổng để nâng cấp. Thực trạng ở Việt Nam nguồn lực cho bảo mật vẫn chưa nhiều, nhưng sau những vụ việc này, chắc chắn mọi người sẽ chú ý nhiều hơn và đầu tư nhiều hơn cho bảo mật”, ông Đức cho biết.

Giám đốc CyRadar kiêm cố vấn SecuriChain phân tích thêm: “Có 2 hình thức tấn công. 1 là lừa đảo trực tuyến, nhắm đến người dùng, nhà đầu tư, người chơi game. 2 là tấn công trực diện vào các ứng dụng ví, sàn, game.

Với hình thức lừa đảo trực tuyến, khá giống với lừa đảo trực tuyến của các hệ thống truyền thống hiện nay. Chúng có kịch bản lừa đảo tinh vi, qua chat, email để dụ dỗ nạn nhân bấm và link, từ đó chiếm mật khẩu và tài khoản. Chúng cũng có thể lừa nạn nhân cài mã độc, có khả năng đánh cắp thông tin người dùng. Mỗi người có thể mất không nhiều, nhưng 1 tập hàng triệu người dùng sẽ gây ra thiệt hại lớn.

Hình thức thứ 2 là tấn công vào các nền tảng, lợi dụng khai thác các lỗ hổng của phần mềm này. Chúng ta có thể thấy các lỗ hổng phần mềm vẫn luôn tồn tại, có thể tiếp tục được phát hiện trong thời gian tới. Như vậy, lừa đảo nhắm đến người dùng cá nhân, còn các vụ tấn công trực diện nhắm đến sàn, các ứng dụng dự án blockchain”.

Thị trường blockchain Việt Nam phát triển quá nóng, chưa được chú trọng bảo mật  ảnh 2

Vụ tấn công vào Axie Infinity là hồi chuông cảnh tỉnh cho vấn đề bảo mật của các dự án blockchain

Trước vụ hack Axie Infinity, cuối năm ngoái, 1 ứng dụng ví tiền điện tử của Việt Nam cũng bị xâm nhập và làm lộ thông tin KYC (xác thực thông tin cá nhân) của 1,5 triệu người dùng. 1 game nữa là Wanaka Farm cũng bị hack 1 triệu USD do lỗi thiết kế hệ thống. 1 số dự án GameFi của Việt Nam còn bị khai thác về lỗi sinh số ngẫu nhiên trên smart contract.

Đa số dự án chỉ đầu tư 10-20 nghìn USD cho việc hoàn thiện smart contract, hệ thống server thiếu giám sát và đầu tư cho việc bảo mật chuyên nghiệp.

Nhận định về nguyên nhân của hàng loạt vụ hack thời gian qua, 2 chuyên gia Nguyễn Việt Dinh và Nguyễn Minh Đức đều cho rằng “thị trường đang phát triển quá nóng”.

“Không chỉ các dự án Việt Nam, các dự án trên thế giới cũng gặp tình trạng đó. Số vụ tấn công gia tăng thời gian qua thể hiển việc này. Riêng trong 2021 và 2022 có 7 vụ lọt vào top 10 vụ tấn công lớn nhất. Có thể thấy đây là xu hướng đang gia tăng, 1 phần do chính các dự án chưa quan tâm đến bảo mật.

Vì vậy, các dự án cần nhìn nhận lại một cách nghiêm túc và đầu tư hơn vào bảo mật. Thực tế khi một dự án hình thành, với một nhóm khoảng 3-5 người hoặc nhiều hơn, mà phải đầu tư cho bảo mật cũng rất khó, vì có thể làm chậm đi tốc độ phát triển dự án.

Vấn đề bảo mật thường không đo đếm được, gây tốn kém chi phí mà không mang lại hiệu quả trực tiếp, vì vậy thường bị bỏ qua trong giai đoạn đầu. Về sau, nếu hệ thống thành công, start up mới quay trở lại đầu tư vào bảo mật”, ông Đức đánh giá.

Giải thích về thắc mắc những vụ tấn công vẫn diễn ra trong khi công nghệ blockchain vốn được xem là an toàn, Giám đốc CyRadar kiêm cố vấn SecuriChain cho rằng blockchain không miễn nhiễm với các vụ tấn công. Dù hoạt động phi tập trung có thể mang lại khả năng phòng vệ tốt hơn, blockchain vẫn có thể có lỗ hổng do đây vẫn là các giao thức, phần mềm do con người phát triển ra. Về mặt nguyên tắc vẫn có thể có lỗ hổng.

“Các vụ tấn công trong khoảng 1 năm qua không nhắm vào giao thức blockchain, mà nhắm đến các ứng dụng, như game, ví hoặc sàn giao dịch, cầu nối. Đây là các ứng dụng sử dụng blockchain, nhưng thực chất đó vẫn là những ứng dụng web, mobile và vẫn có lỗ hổng như các phần mềm truyền thống. Chúng ta cần làm rõ các vụ hack này có liên quan đến công nghệ blockchain, chứ không phải 100% là blockchain”, ông Nguyễn Minh Đức khẳng định.

Theo thống kê, trong số 10 vụ tấn công tiền mã hóa lớn nhất, có 6 vụ xảy ra năm 2021, trong khi những vụ tấn công đầu tiên xảy ra từ năm 2011. Thiệt hại của năm 2021 bằng tổng các năm trước cộng lại, cho thấy xu hướng tấn công mạng nhắm vào các dự án blockchain gia tăng rất nhanh, trở thành mục tiêu rõ ràng của giới tội phạm mạng.

Bảo Nhi