Dự án blockchain Việt bị tấn công: Đừng để 'mất bò mới lo làm chuồng'
Việt Nam đang trở thành 'thủ phủ' của blockchain với hơn 600 dự án được thành lập. Các dự án này đang là đích ngắm của tội phạm mạng, nên cần chú trọng công tác bảo mật.
Liên tiếp các vụ tấn công
Ngày 2/9, Kyber Network trở thành nạn nhân của giới tin tặc. Start-up này đã xác định được một phần tử đáng ngờ trên frontend. Đó là một đoạn mã độc nằm trong phần mềm Google Tag Manager. Sau khi phát hiện, Kyber Network đã cô lập lỗ hổng và vô hiệu hóa tính năng gặp lỗi trong vòng 2 giờ. Tuy vậy, hacker vẫn thành công trong việc lấy đi 265.000 USD tiền mã hóa từ 2 địa chỉ “cá voi” của Dự án.
Sau vụ việc, ông Lưu Thế Lợi, đồng sáng lập Kyber Network cho biết, Kyber Network sẽ bồi thường thiệt hại cho những người bị ảnh hưởng. Đối với hacker, Công ty tuyên bố sẵn sàng thỏa hiệp, bao gồm cả việc “trao thưởng” 15% của số tiền 265.000 USD nếu hacker chấp nhận hoàn tiền cho KyberSwap.
Trước đó, cuối tháng 3/2022, tin tặc đã tấn công Axie Infinity (ứng dụng trò chơi điện tử trực tuyến dựa trên NFT do Sky Mavis phát triển) để chiếm đoạt 617 triệu USD, gây chấn động giới blockchain và thị trường tiền số. Theo đội ngũ quản trị Ronin, kẻ tấn công (hacker) đã sử dụng khóa cá nhân để thực hiện việc rút tiền. Họ phát hiện ra cuộc tấn công sau khi nhận được báo cáo từ người dùng về việc không thể rút 5.000 Ethereum từ hệ thống.
Một vụ việc khác là ONUS (ứng dụng đầu tư tiền số do người Việt phát triển) bị tấn công làm lộ lọt dữ liệu của 2 triệu người dùng. Sau đó, hacker gửi tin nhắn đe dọa tống tiền 5 triệu USD tới ONUS thông qua Telegram.
Lãnh đạo ONUS đã từ chối yêu cầu của hacker, đồng thời công khai vụ tấn công tới tất cả người dùng và cho biết, Công ty có ngân sách 5 triệu USD để đền bù cho người dùng nếu bị thiệt hại.
Theo dữ liệu từ Công ty Chainalysis, từ đầu năm đến nay, điểm yếu của các cầu nối trong công nghệ blockchain đã gây thiệt hại khoảng 1,4 tỷ USD và số tiền bị đánh cắp trong các vụ trộm liên quan tới cầu nối blockchain chiếm 69% tổng số tiền bị đánh cắp trong các vụ tấn công tiền điện tử.
Giải mã nguyên nhân
Ông Nguyễn Việt Dinh, Giám đốc công nghệ của Symper đánh giá, mức độ đầu tư cho bảo mật của các dự án blockchain tại Việt Nam còn hạn chế, bởi vậy đã “tạo điều kiện” cho nhiều vụ tấn công.
Một trong những thách thức về bảo mật với các dự án blockchain được ông Hoàng Viết Tiến, Trưởng bộ phận Cố vấn chiến lược tại Insider chỉ ra là quy trình phát triển sản phẩm và mức độ đầu tư cho nhân sự của dự án. Các dự án thường muốn làm những việc có thể tạo ra lợi ích tức thì cho sản phẩm và cộng đồng. Đó là lý do họ không bố trí nhiều nhân lực cho bảo mật.
Có thể thấy, khá nhiều dự án blockchain phát triển “nóng” trong thời gian qua. Đến khi dự án trở nên phổ biến, được đầu tư nhiều tiền hoặc có lợi nhuận, thì những lỗ hổng từ giai đoạn ban đầu trở thành điểm yếu chí mạng, có thể dẫn đến sụp đổ hệ thống.
Từ kinh nghiệm nhiều năm trong lĩnh vực này, ông Nguyễn Minh Đức, Giám đốc CyRadar khuyến nghị, các dự án blockchain cần nhìn nhận một cách nghiêm túc và đầu tư nhiều hơn cho công tác bảo mật để có thể chống lại sự tấn công từ hacker. Cùng với đó, trong quá trình hoạt động, cần rà soát, kiểm tra và tăng cường bảo mật thường xuyên bằng các giải pháp công nghệ mới.
Từ đầu năm 2022 đến nay, khá nhiều dự án blockchain trên thế giới đã bị tấn công và thiệt hại lớn, như Wormhole (thiệt hại 326 triệu USD); Nomad (thiệt hại 190 triệu USD); Harmony Horizon (thiệt hại 100 triệu USD); Qubit Finance (thiệt hại 80 triệu USD); FEI Protocol (thiệt hại 79,3 triệu USD); Akutars (thiệt hại 32,8 triệu USD).