"Gót chân Achilles" của blockchain khiến hàng tỷ USD bị đánh cắp

Đó là kết luận được giới chuyên gia Mỹ đưa ra trong ngày 9/8, sau khi tin tặc đánh cắp ước tính 190 triệu USD từ công ty tiền điện tử Nomad tuần trước.

Cầu nối giữa các blockchain đang tồn tại nhiều điểm yếu về bảo mật. Ảnh: CoinGeek

Vụ tin tặc nhằm vào công ty Nomad là cuộc tấn công lớn thứ 8 trong lịch sử tiền số, đồng thời là vụ trộm thứ 7 kể từ đầu năm đến nay.

Các vụ trộm nổi bật khác có thể kể tới là việc 615 triệu USD bị "thổi bay" khỏi mạng blockchain Ronin của Sky Mavis (sử dụng trong một trò chơi trực tuyến phổ biến) và 320 triệu USD bị "cuỗm" khỏi Wormhole (dùng trong ứng dụng tài chính phi tập trung).

Cầu nối trong blockchain là một mắt xích ngày càng quan trọng trong hệ thống tiền điện tử. Đây là chuỗi mã giúp tiền điện tử có thể luân chuyển qua các ứng dụng khác nhau.

Ví dụ, Ronin Bridge của Axie Infinity là cầu nối giúp chuyển đổi tài sản qua lại giữa hai mạng Ronin và Ethereum với chi phí rẻ và nhanh chóng. Có thể hình dung cầu nối giữa các mạng blockchain hiện nay như "con đường tơ lụa", giúp người dùng ở các mạng blockchain khác nhau dễ dàng trao đổi, mở ra nhiều cơ hội giao thương hơn.

Tuy nhiên, ông Steve Bassi - người đồng sáng lập và là Giám đốc điều hành của chương trình phát hiện phần mềm độc hại PolySwarm - cho biết: "Các cầu nối trong blockchain chính là mảnh đất màu mỡ nhất để khai phá các lỗ hổng bảo mật".

Dữ liệu từ Elliptic - một công ty phân tích blockchain có trụ sở tại London (Anh) - cho thấy từ đầu năm 2022 đến nay tin tặc đã đánh cắp lượng tiền điện tử trị giá khoảng 1,2 tỷ USD từ các cầu nối trong blockchain, nhiều hơn gấp đôi tổng số bị đánh cắp năm ngoái.

Ông Ronghui Hu - một giáo sư về khoa học máy tính tại trường Đại học Columbia ở New York, đồng thời là người đồng sáng lập công ty an ninh mạng CertiK - cho biết: "Đây là cuộc chiến mà các công ty an ninh mạng hoặc dự án đơn lẻ không thể là người chiến thắng. Chúng ta phải cùng lúc bảo vệ rất nhiều dự án. Bởi lẽ, khi xâm nhập một dự án nhưng không phát hiện lỗ hổng, tin tặc sẽ chuyển sang các dự án tiếp theo cho tới khi tìm ra điểm yếu".

Hiện tại, hầu hết các mã thông báo kỹ thuật số đều chạy trên blockchain của riêng mình. Về cơ bản, đây là một cuốn sổ kỹ thuật số công khai ghi lại các giao dịch tiền điện tử. Điều đó gây ảnh hưởng tới các dự án sử dụng những đồng tiền này, làm giảm triển vọng sử dụng rộng rãi của chúng.

Các cầu nối sẽ giúp phá bỏ giới hạn này. Những người ủng hộ việc ứng dụng tiền điện tử đánh giá cầu nối trong blockchain sẽ đóng một vai trò cơ bản trong "Web3" - tầm nhìn về một tương lai kỹ thuật số nơi tiền điện tử tràn ngập trong thương mại và đời sống trực tuyến.

Nomad cho biết công ty này đang làm việc với các cơ quan thực thi pháp luật và một công ty phân tích blockchain để theo dõi các khoản tiền bị đánh cắp.

Hồi cuối tuần trước, Nomad công bố sẽ tặng thưởng lên đến 10% cho tin tặc hoàn trả số tiền đánh cắp từ cầu nối. Thông báo ngày 6/8 của Nomad cho biết công ty này đã thu lại được hơn 32 triệu USD trong tổng số tiền bị đánh cắp.

Giám đốc điều hành của Nomad - ông Pranay Mohan cho biết: "Điều quan trọng nhất trong hệ thống tiền điện tử là cộng đồng và mục tiêu số 1 của chúng tôi là khôi phục quỹ người dùng bắc cầu. Chúng tôi sẽ thưởng cho tin tặc hoàn trả tối thiểu 90% số tiền đã đánh cắp và chúng tôi sẽ không tiến hành truy tố về vấn đề này".

Để khắc phục "gót chân Achilles" trong hệ thống tiền điện tử, một số chuyên gia cho rằng việc kiểm tra kỹ lưỡng các hợp đồng giao dịch thông minh có thể giúp đề phòng vấn nạn tin tặc, cũng như phát động các chương trình "tặng tiền thưởng khi phát hiện lỗi" nhằm khuyến khích công tác đánh giá mở rộng về mã hợp đồng thông minh.

Những ý kiến khác lại kêu gọi nới lỏng kiểm soát các cầu nối trong blockchain do các công ty riêng lẻ phát triển, do điều này có thể thúc đẩy khả năng phục hồi và tính minh bạch của mã giao dịch./.