Người sáng lập CertiK nói về an ninh Blockchain: Mất 1.66 tỷ USD trong quý 1, an ninh nên được coi là nguyên tắc cơ bản
Gần đây, một phương tiện truyền thông công nghệ nổi tiếng đã có cuộc phỏng vấn với Đồng sáng lập và CEO của CertiK. Hai bên đã có những thảo luận sâu sắc xoay quanh báo cáo an ninh quý đầu tiên mà công ty mới công bố, về sự biến đổi của các phương pháp tấn công của hacker và sự đổi mới trong công nghệ phòng thủ an ninh.
Giám đốc điều hành nhấn mạnh rằng an ninh không nên được coi là biện pháp khắc phục sau này, mà nên được xem là nguyên tắc cơ bản cần được xem xét ngay từ đầu dự án. Ông đề xuất việc chủ động áp dụng các công nghệ tiên tiến như xác minh hình thức, chứng minh không biết, và tính toán đa bên để nâng cao toàn diện tính an toàn của các giao thức Blockchain và hợp đồng thông minh. Đây cũng chính là lý do ông thành lập công ty - xây dựng một nền tảng an ninh đáng tin cậy hơn cho thế giới Web3.0 thông qua công nghệ xác minh hình thức nghiêm ngặt.
Sự kiên trì này đối với an toàn không phải là sản phẩm của xu hướng thị trường ngắn hạn, mà xuất phát từ cuộc khám phá và thực hành lâu dài của ông về lý tưởng công nghệ. Từ việc tham gia phát triển hệ điều hành được ca ngợi là "không thể chê vào đâu được", đến nay cung cấp bảo đảm an toàn cho hơn 5300 tỷ đô la tài sản kỹ thuật số, ông luôn nỗ lực bảo vệ an toàn cho ngành và nâng cao tổng thể độ tin cậy.
CEO này đã nhiều lần nhấn mạnh rằng an toàn không phải là lợi thế cạnh tranh, mà là trách nhiệm chung. Ông không chỉ chuyển đổi các thành tựu học thuật thành thực tiễn trong ngành, mà còn đưa khái niệm "trách nhiệm chung" vào hợp tác trong ngành. Là một nhà lãnh đạo công nghệ xuất thân từ các trường đại học hàng đầu, ông đang sử dụng tính khả thi của logic toán học để chống lại sự không chắc chắn của các cuộc tấn công mạng, chỉ ra hướng đi cho sự phát triển an toàn trong thời đại Web3.0.
Phát hiện chính trong báo cáo an ninh quý 1
Vào quý I năm 2025, thiệt hại do các sự kiện lừa đảo trên chuỗi gây ra khoảng 1.66 tỷ USD, tăng vọt 303% so với quý trước. Điều này chủ yếu là do một sàn giao dịch bị tấn công bởi hacker vào cuối tháng 2, khoảng 1.4 tỷ USD tài sản đã bị đánh cắp. Ethereum vẫn là mục tiêu chính bị tấn công, 3 sự kiện an ninh đã gây ra thiệt hại tổng cộng 1.54 tỷ USD. Đáng lo ngại hơn, trong quý này chỉ có 0.38% tài sản bị đánh cắp được lấy lại thành công.
Phân tích xu hướng tấn công
Quý 1 năm 2025 tiếp tục xu hướng của cuối năm 2024, Ethereum vẫn là khu vực chịu ảnh hưởng nặng nề bởi các cuộc tấn công. Trong quý 4 năm 2024, đã xảy ra 99 sự kiện an ninh trên Ethereum, trong khi quý 1 là 93 sự kiện. Xu hướng này rất rõ ràng trong suốt năm 2024 và dự kiến sẽ tiếp tục trong năm 2025.
Lý do khiến Ethereum trở thành mục tiêu tấn công là do có nhiều giao thức DeFi trong hệ sinh thái của nó, với quy mô tài sản khóa lớn; mặt khác, trong các hợp đồng thông minh trên Ethereum có nhiều lỗ hổng.
Chiến lược an ninh đối phó với các cuộc tấn công phức tạp
Đối mặt với các phương pháp tấn công ngày càng phức tạp, ngành an ninh blockchain đang tích cực ứng phó. Các kẻ tấn công ngày càng sử dụng nhiều hơn các chiến lược phức tạp như kỹ thuật xã hội, công nghệ AI, thao túng hợp đồng thông minh để vượt qua các cơ chế an ninh hiện có. Khi phạm vi ứng dụng tài sản kỹ thuật số mở rộng và giá trị tăng lên, ngành phải theo kịp thời đại, đảm bảo tính toàn vẹn của dự án và an toàn cho tài sản của người dùng.
Ngành công nghiệp đang thúc đẩy sự phát triển của các công nghệ đổi mới như chứng minh không kiến thức (ZKP) và bảo mật trên chuỗi. Những công nghệ này cung cấp các giải pháp đầy hứa hẹn cho các vấn đề an ninh ngày càng nghiêm trọng, có thể thực hiện kiểm toán giao dịch, truy nguyên cuộc tấn công và thu hồi tài sản trong khi bảo vệ quyền riêng tư. Tính toán đa bên (MPC) thì thông qua việc phân tán quyền kiểm soát khóa riêng, đã tăng cường thêm tính an toàn trong quản lý khóa, loại bỏ rủi ro điểm thất bại đơn lẻ, và làm tăng đáng kể độ khó trong việc truy cập ví mà không có sự ủy quyền.
Lời khuyên an toàn cho các nhà phát triển
Đặt an toàn làm yếu tố hàng đầu nên là một nguyên tắc không thể thỏa hiệp. Việc tích hợp yếu tố an toàn vào mỗi giai đoạn phát triển, thay vì khắc phục sau, giúp phát hiện sớm các lỗ hổng tiềm ẩn, từ đó tiết kiệm được rất nhiều thời gian và tài nguyên về lâu dài. Chiến lược chủ động "an toàn là ưu tiên" này là rất quan trọng để xây dựng các ứng dụng Web3.0 đáng tin cậy.
Ngoài ra, việc tìm kiếm các tổ chức an ninh chuyên nghiệp để thực hiện kiểm toán bên thứ ba toàn diện và công bằng cũng có thể cung cấp góc nhìn độc lập, phát hiện ra những rủi ro tiềm ẩn mà đội ngũ nội bộ có thể đã bỏ qua. Những đánh giá bên ngoài này cung cấp các bước kiểm tra quan trọng, giúp nhận diện và khắc phục kịp thời các lỗ hổng, từ đó tăng cường độ an toàn tổng thể của dự án, nâng cao hơn nữa sự tin tưởng của người dùng.
AI trong Blockchain có hai vai trò
AI đã trở thành công cụ quan trọng trong hệ thống an ninh Blockchain. Một số công ty sử dụng công nghệ AI để phân tích các lỗ hổng và thiếu sót an ninh tiềm ẩn trong hợp đồng thông minh, giúp hoàn thành kiểm toán toàn diện một cách hiệu quả hơn, nhưng nó không thể hoàn toàn thay thế các đội kiểm toán chuyên gia con người.
Tuy nhiên, kẻ tấn công cũng có thể tận dụng AI để tăng cường các phương thức tấn công. Ví dụ, AI có thể được sử dụng để xác định các điểm yếu trong mã, tránh cơ chế đồng thuận, và hệ thống phòng thủ. Điều này có nghĩa là ngưỡng an ninh đã được nâng cao, và với sự phổ biến ngày càng tăng của các ứng dụng AI, ngành công nghiệp phải đầu tư vào các giải pháp an ninh mạnh mẽ hơn.
Vai trò của xác minh hình thức
Xác minh hình thức là một phương pháp chứng minh rằng chương trình máy tính hoạt động như mong đợi thông qua các công cụ toán học. Nó diễn ra bằng cách diễn đạt các thuộc tính của chương trình dưới dạng công thức toán học và xác minh bằng các công cụ tự động.
Công nghệ này có thể được áp dụng rộng rãi trong các lĩnh vực khác nhau của ngành công nghệ, bao gồm thiết kế phần cứng, kỹ thuật phần mềm, an ninh mạng, AI và kiểm toán hợp đồng thông minh. Nhưng cần nhấn mạnh rằng, xác minh hình thức không phải để thay thế kiểm toán thủ công. Đối với hợp đồng thông minh, xác minh hình thức dựa vào các phương pháp tự động để đánh giá logic và hành vi của hợp đồng, trong khi kiểm toán thủ công được thực hiện bởi các chuyên gia an ninh để kiểm tra toàn diện mã nguồn, thiết kế và triển khai nhằm xác định các rủi ro an ninh tiềm ẩn. Cả hai bổ sung cho nhau, cùng nhau nâng cao tính an toàn tổng thể của hợp đồng thông minh.
Thách thức về an ninh do sự gia nhập của các tổ chức tài chính truyền thống
Với sự gia nhập của các tổ chức tài chính truyền thống vào lĩnh vực Blockchain, các loại và mức độ phức tạp của mối đe dọa an ninh đang thay đổi. Trong giai đoạn đầu của Web3.0 và ngành Blockchain, các kẻ tấn công thường nhằm vào người dùng cá nhân hoặc các dự án nhỏ, với các phương thức như tấn công lừa đảo, RugPull và khai thác lỗ hổng ví. Những thách thức này vẫn tồn tại, nhưng với sự tham gia của các tổ chức lớn, rủi ro an ninh của tính toàn vẹn mạng cũng sẽ bước vào giai đoạn mới.
Sự chuyển đổi này không chỉ liên quan đến sự gia tăng quy mô tài sản của dự án, mà còn bao gồm các nhu cầu bảo mật đặc biệt của ứng dụng doanh nghiệp, yêu cầu quản lý, cũng như những thách thức do sự tích hợp sâu sắc giữa blockchain và hệ thống tài chính truyền thống mang lại.
Xét thấy hầu hết các tổ chức truyền thống có kinh nghiệm đối phó với các mối đe dọa mạng, dự kiến rằng những kẻ xấu cũng sẽ nâng cao độ phức tạp của các phương thức tấn công. Mục tiêu tấn công có thể chuyển từ các lỗ hổng ví chung sang các điểm yếu cấp doanh nghiệp có tính chất nhắm mục tiêu hơn, chẳng hạn như cấu hình sai, lỗ hổng hợp đồng thông minh tùy chỉnh, cũng như các thiếu sót bảo mật trong các giao diện tích hợp với hệ thống truyền thống.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
8
Chia sẻ
Bình luận
0/400
TommyTeacher1
· 08-03 06:44
Lỗ đến mức này mà vẫn còn đây.
Xem bản gốcTrả lời0
FreeRider
· 08-02 15:07
Đừng nói nữa, lại mất một khoản lớn.
Xem bản gốcTrả lời0
GateUser-ccc36bc5
· 08-01 14:10
Thật sự thua lỗ quá nặng, những dự án bị đánh cắp này đang làm gì vậy?
Xem bản gốcTrả lời0
rekt_but_not_broke
· 07-31 12:40
Cảm giác lỗ lắm à
Xem bản gốcTrả lời0
GateUser-3824aa38
· 07-31 12:38
Rug Pull đều là những người không làm an toàn.
Xem bản gốcTrả lời0
RektRecorder
· 07-31 12:29
Lại là 1,6 tỷ trôi theo dòng nước
Xem bản gốcTrả lời0
BridgeNomad
· 07-31 12:27
một ngày nữa, một lỗ hổng nữa... mệt mỏi vì phải là người đã dự đoán điều đó thật sự
Người sáng lập CertiK giải thích báo cáo an ninh: Thiệt hại 1,66 tỷ USD trong Q1, an ninh nên là nền tảng của dự án.
Người sáng lập CertiK nói về an ninh Blockchain: Mất 1.66 tỷ USD trong quý 1, an ninh nên được coi là nguyên tắc cơ bản
Gần đây, một phương tiện truyền thông công nghệ nổi tiếng đã có cuộc phỏng vấn với Đồng sáng lập và CEO của CertiK. Hai bên đã có những thảo luận sâu sắc xoay quanh báo cáo an ninh quý đầu tiên mà công ty mới công bố, về sự biến đổi của các phương pháp tấn công của hacker và sự đổi mới trong công nghệ phòng thủ an ninh.
Giám đốc điều hành nhấn mạnh rằng an ninh không nên được coi là biện pháp khắc phục sau này, mà nên được xem là nguyên tắc cơ bản cần được xem xét ngay từ đầu dự án. Ông đề xuất việc chủ động áp dụng các công nghệ tiên tiến như xác minh hình thức, chứng minh không biết, và tính toán đa bên để nâng cao toàn diện tính an toàn của các giao thức Blockchain và hợp đồng thông minh. Đây cũng chính là lý do ông thành lập công ty - xây dựng một nền tảng an ninh đáng tin cậy hơn cho thế giới Web3.0 thông qua công nghệ xác minh hình thức nghiêm ngặt.
Sự kiên trì này đối với an toàn không phải là sản phẩm của xu hướng thị trường ngắn hạn, mà xuất phát từ cuộc khám phá và thực hành lâu dài của ông về lý tưởng công nghệ. Từ việc tham gia phát triển hệ điều hành được ca ngợi là "không thể chê vào đâu được", đến nay cung cấp bảo đảm an toàn cho hơn 5300 tỷ đô la tài sản kỹ thuật số, ông luôn nỗ lực bảo vệ an toàn cho ngành và nâng cao tổng thể độ tin cậy.
CEO này đã nhiều lần nhấn mạnh rằng an toàn không phải là lợi thế cạnh tranh, mà là trách nhiệm chung. Ông không chỉ chuyển đổi các thành tựu học thuật thành thực tiễn trong ngành, mà còn đưa khái niệm "trách nhiệm chung" vào hợp tác trong ngành. Là một nhà lãnh đạo công nghệ xuất thân từ các trường đại học hàng đầu, ông đang sử dụng tính khả thi của logic toán học để chống lại sự không chắc chắn của các cuộc tấn công mạng, chỉ ra hướng đi cho sự phát triển an toàn trong thời đại Web3.0.
Phát hiện chính trong báo cáo an ninh quý 1
Vào quý I năm 2025, thiệt hại do các sự kiện lừa đảo trên chuỗi gây ra khoảng 1.66 tỷ USD, tăng vọt 303% so với quý trước. Điều này chủ yếu là do một sàn giao dịch bị tấn công bởi hacker vào cuối tháng 2, khoảng 1.4 tỷ USD tài sản đã bị đánh cắp. Ethereum vẫn là mục tiêu chính bị tấn công, 3 sự kiện an ninh đã gây ra thiệt hại tổng cộng 1.54 tỷ USD. Đáng lo ngại hơn, trong quý này chỉ có 0.38% tài sản bị đánh cắp được lấy lại thành công.
Phân tích xu hướng tấn công
Quý 1 năm 2025 tiếp tục xu hướng của cuối năm 2024, Ethereum vẫn là khu vực chịu ảnh hưởng nặng nề bởi các cuộc tấn công. Trong quý 4 năm 2024, đã xảy ra 99 sự kiện an ninh trên Ethereum, trong khi quý 1 là 93 sự kiện. Xu hướng này rất rõ ràng trong suốt năm 2024 và dự kiến sẽ tiếp tục trong năm 2025.
Lý do khiến Ethereum trở thành mục tiêu tấn công là do có nhiều giao thức DeFi trong hệ sinh thái của nó, với quy mô tài sản khóa lớn; mặt khác, trong các hợp đồng thông minh trên Ethereum có nhiều lỗ hổng.
Chiến lược an ninh đối phó với các cuộc tấn công phức tạp
Đối mặt với các phương pháp tấn công ngày càng phức tạp, ngành an ninh blockchain đang tích cực ứng phó. Các kẻ tấn công ngày càng sử dụng nhiều hơn các chiến lược phức tạp như kỹ thuật xã hội, công nghệ AI, thao túng hợp đồng thông minh để vượt qua các cơ chế an ninh hiện có. Khi phạm vi ứng dụng tài sản kỹ thuật số mở rộng và giá trị tăng lên, ngành phải theo kịp thời đại, đảm bảo tính toàn vẹn của dự án và an toàn cho tài sản của người dùng.
Ngành công nghiệp đang thúc đẩy sự phát triển của các công nghệ đổi mới như chứng minh không kiến thức (ZKP) và bảo mật trên chuỗi. Những công nghệ này cung cấp các giải pháp đầy hứa hẹn cho các vấn đề an ninh ngày càng nghiêm trọng, có thể thực hiện kiểm toán giao dịch, truy nguyên cuộc tấn công và thu hồi tài sản trong khi bảo vệ quyền riêng tư. Tính toán đa bên (MPC) thì thông qua việc phân tán quyền kiểm soát khóa riêng, đã tăng cường thêm tính an toàn trong quản lý khóa, loại bỏ rủi ro điểm thất bại đơn lẻ, và làm tăng đáng kể độ khó trong việc truy cập ví mà không có sự ủy quyền.
Lời khuyên an toàn cho các nhà phát triển
Đặt an toàn làm yếu tố hàng đầu nên là một nguyên tắc không thể thỏa hiệp. Việc tích hợp yếu tố an toàn vào mỗi giai đoạn phát triển, thay vì khắc phục sau, giúp phát hiện sớm các lỗ hổng tiềm ẩn, từ đó tiết kiệm được rất nhiều thời gian và tài nguyên về lâu dài. Chiến lược chủ động "an toàn là ưu tiên" này là rất quan trọng để xây dựng các ứng dụng Web3.0 đáng tin cậy.
Ngoài ra, việc tìm kiếm các tổ chức an ninh chuyên nghiệp để thực hiện kiểm toán bên thứ ba toàn diện và công bằng cũng có thể cung cấp góc nhìn độc lập, phát hiện ra những rủi ro tiềm ẩn mà đội ngũ nội bộ có thể đã bỏ qua. Những đánh giá bên ngoài này cung cấp các bước kiểm tra quan trọng, giúp nhận diện và khắc phục kịp thời các lỗ hổng, từ đó tăng cường độ an toàn tổng thể của dự án, nâng cao hơn nữa sự tin tưởng của người dùng.
AI trong Blockchain có hai vai trò
AI đã trở thành công cụ quan trọng trong hệ thống an ninh Blockchain. Một số công ty sử dụng công nghệ AI để phân tích các lỗ hổng và thiếu sót an ninh tiềm ẩn trong hợp đồng thông minh, giúp hoàn thành kiểm toán toàn diện một cách hiệu quả hơn, nhưng nó không thể hoàn toàn thay thế các đội kiểm toán chuyên gia con người.
Tuy nhiên, kẻ tấn công cũng có thể tận dụng AI để tăng cường các phương thức tấn công. Ví dụ, AI có thể được sử dụng để xác định các điểm yếu trong mã, tránh cơ chế đồng thuận, và hệ thống phòng thủ. Điều này có nghĩa là ngưỡng an ninh đã được nâng cao, và với sự phổ biến ngày càng tăng của các ứng dụng AI, ngành công nghiệp phải đầu tư vào các giải pháp an ninh mạnh mẽ hơn.
Vai trò của xác minh hình thức
Xác minh hình thức là một phương pháp chứng minh rằng chương trình máy tính hoạt động như mong đợi thông qua các công cụ toán học. Nó diễn ra bằng cách diễn đạt các thuộc tính của chương trình dưới dạng công thức toán học và xác minh bằng các công cụ tự động.
Công nghệ này có thể được áp dụng rộng rãi trong các lĩnh vực khác nhau của ngành công nghệ, bao gồm thiết kế phần cứng, kỹ thuật phần mềm, an ninh mạng, AI và kiểm toán hợp đồng thông minh. Nhưng cần nhấn mạnh rằng, xác minh hình thức không phải để thay thế kiểm toán thủ công. Đối với hợp đồng thông minh, xác minh hình thức dựa vào các phương pháp tự động để đánh giá logic và hành vi của hợp đồng, trong khi kiểm toán thủ công được thực hiện bởi các chuyên gia an ninh để kiểm tra toàn diện mã nguồn, thiết kế và triển khai nhằm xác định các rủi ro an ninh tiềm ẩn. Cả hai bổ sung cho nhau, cùng nhau nâng cao tính an toàn tổng thể của hợp đồng thông minh.
Thách thức về an ninh do sự gia nhập của các tổ chức tài chính truyền thống
Với sự gia nhập của các tổ chức tài chính truyền thống vào lĩnh vực Blockchain, các loại và mức độ phức tạp của mối đe dọa an ninh đang thay đổi. Trong giai đoạn đầu của Web3.0 và ngành Blockchain, các kẻ tấn công thường nhằm vào người dùng cá nhân hoặc các dự án nhỏ, với các phương thức như tấn công lừa đảo, RugPull và khai thác lỗ hổng ví. Những thách thức này vẫn tồn tại, nhưng với sự tham gia của các tổ chức lớn, rủi ro an ninh của tính toàn vẹn mạng cũng sẽ bước vào giai đoạn mới.
Sự chuyển đổi này không chỉ liên quan đến sự gia tăng quy mô tài sản của dự án, mà còn bao gồm các nhu cầu bảo mật đặc biệt của ứng dụng doanh nghiệp, yêu cầu quản lý, cũng như những thách thức do sự tích hợp sâu sắc giữa blockchain và hệ thống tài chính truyền thống mang lại.
Xét thấy hầu hết các tổ chức truyền thống có kinh nghiệm đối phó với các mối đe dọa mạng, dự kiến rằng những kẻ xấu cũng sẽ nâng cao độ phức tạp của các phương thức tấn công. Mục tiêu tấn công có thể chuyển từ các lỗ hổng ví chung sang các điểm yếu cấp doanh nghiệp có tính chất nhắm mục tiêu hơn, chẳng hạn như cấu hình sai, lỗ hổng hợp đồng thông minh tùy chỉnh, cũng như các thiếu sót bảo mật trong các giao diện tích hợp với hệ thống truyền thống.