Nếu năm 2017 có để lại cho chúng ta bất kì bài học gì, thì đó chính là vấn đề bảo mật an ninh. Tần suất xuất hiện các vụ hack trong năm vừa qua – cùng với đó là số coin hàng triệu đô bị mất – đã gửi đến cho cộng đồng một thông điệp rõ ràng: giao dịch tiền điện tử cần phải “đập mặt làm lại”.
Nền tảng để từ đâu chúng ta cải tổ ư? Sàn giao dịch tiền điện tử phân quyền.
2017 – năm mà cộng đồng ám ảnh bởi tấn công mạng
Không thể chối cãi rằng 2017 sẽ đi vào lịch sử như là năm đưa tiền điện tử lên mức nổi tiếng toàn cầu. Nhưng càng nhận được nhiều chú ý thì lại càng dễ bị lợi dụng để trục lợi, và 2017 cũng là năm mà tiền điện tử lọt vào tầm ngắm của các thành phần độc hại.
Đã có hơn một chục đợt tấn công riêng lẻ diễn ra trong suốt năm vừa qua. Từ các sàn giao dịch sang dịch vụ ví tiền, cho đến quỹ đầu tư ICO, bọn tin tặc không chừa bất kì thứ gì cả. Tính theo giá trị thị trường hiện tại, tổng thiệt hại gây ra bởi các đợt hack trong năm qua đã ngấp nghé 500 triệu đô. Ấy vẫn là chưa tính cả những vụ hack trước đó của Bitfinex và Bitstamp hồi năm 2016, hay là “huyền thoại” Mt. Gox mà xém chút nữa là đánh sập cả hệ sinh thái Bitcoin. Tổng cộng thì từ lúc khái niệm tiền thuật toán chào đời thì đã có đến 12,5 tỉ USD “một đi không trở lại”. Và chắc cũng chẳng phải nói thêm gì về cơn ác mộng, nỗi kinh hoàng mang tên ransomware WannaCry.
Giữa mớ hỗn loạn đó, các nền tảng ví tiền cũng nhanh chân “góp vui”. Quay lại hồi tháng 7, lũ tin tặc đã hùa nhau tấn công Parity, một nhà cung cấp ví Ethereum multi-sig, lấy đi 153.000 ETH (trị giá đến 200 triệu USD vào thời điểm lúc ấy). Rồi đến tháng 11, ví “kho bạc” của Tether mất 31 triệu đô cho một kẻ tấn công mà trước đó có liên hệ với đợt hack Bitstamp trước đó 2 năm.
Ví Ethereum Parity lại phát hiện lỗ hổng an ninh thứ hai, hơn 150 triệu đô bị đóng băng – DAO phiên bản 2.0? – Coin68 – Tin tức bitcoin, blockchain, tiền điện tử mỗi ngày
Các nhà phát triển của ví tiền điện tử Ethereum Parity vừa ra thông báo về một lỗ hổng nghiêm trọng mà đã dẫn đến việc hàng trăm triệu USD tiền quỹ của người dùng bị đóng băng.
Nhìn chung, các sàn giao dịch tiền điện tử lại phải gánh chịu hậu quả nặng nề nhất từ các đợt tấn cộng độc hại trong năm 2017, đặc biệt nằm đầu danh sách những “miếng mồi thơm” chính là Hàn Quốc. Youbit, trước đây còn được biết đến với tên Yapizon, mất cắp 3.816 BTC hồi tháng 01/2017. Tuy lượng tiền này chỉ đáng giá 5 triệu đô vào thời điểm bị trộm viếng, thế nhưng đến hiện tại con số này đã tăng gấp 10 do tăng giá Bitcoin. Chưa hết, Youbit tiếp tục bị tấn công vào tháng 12, buộc phải đệ đơn phá sản sau khi làm mất đến 17% quỹ người dùng. Trước đó, sàn giao dịch lớn nhất Hàn Quốc Bithumb cũng mắc phải scandal rò rỉ thông tin cá nhân của ít nhất 30 nghìn người dùng, thiệt hại lên đến hàng tỉ won.
Bắc Triều Tiên đang đứng sau các cuộc tấn công tiền điện tử – Coin68 – Tin tức bitcoin, blockchain, tiền điện tử mỗi ngày
Người xấu thì khó mà có thể thay đổi trong một sớm một chiều. Và Triều Tiên là một ví dụ. Chính phủ cộng sản chuyên chế hay sử dụng các hoạt động tấn công bằng tình báo, gián điệp để gây bất lợi cho các nước đối nghịch (điển hình là Hàn Quốc và Nhật Bản) đồng thời nhằm khai thác các thông tin về công nghệ, quân sự và chính trị.
Sàn giao dịch phân quyền có thể sẽ là giải pháp
Những cái sàn giao dịch “dính chàm” – Bitstamp, Bitfinex, Youbit và Bithumb – đều là tập quyền cả. Nhưng đây cũng chẳng là điều gì lạ khi gần như mọi nền tảng giao dịch tiền điện tử lúc này đề là tập quyền. Lí do thì rất rõ ràng, đó là vì mục đích tiện lợi, nhưng chính nó là thường khiến ta bỏ lơ đến nỗi lo về mức độ an ninh.
Khi một sàn giao dịch bị tập trung quyền lực, mô hình hoạt động của nó bị chia thành 2 dạng: quản lý tài sản và quản lý hệ thống. Đối với quản lý tài sản, các sàn hoạt động tương tự vai trò của các thể chế tín dụng như ngân hàng: khi đồng ý dùng sàn giao dịch tập quyền, bạn đồng ý để nó giữ tiền của mình cho đến khi ra quyết định rút tiền về. Các sàn sẽ thường lưu trữ tài sản khách hàng trong kho ví nóng (online) hoặc ví lạnh (offline).
Hình thức còn lại của sàn giao dịch tập quyền chỉ những nền tảng lưu trữ toàn bộ dữ liệu và cơ sở hạ tầng nó dùng để phục vụ công tác hoạt động. Để mở rộng kinh doanh thì chúng chẳng còn cách nào khác là phải đi outsource để kiếm thêm tài nguyên, thuê mướn server, thậm chí là cung cấp dịch vụ cloud để đáp ứng lưu lượng truy cập, và điều này đồng nghĩa với việc các server host thường tập trung nguồn lực về cùng một nguồn.
Chắc hẳn đến lúc này bạn đã nhận ra cốt lõi vấn đề rồi chứ? Nếu tin tặc muốn đánh vào một sàn giao dịch tập quyền, chúng chỉ cần truy cập qua một cổng, che giấu hành tung của mình thông qua một bên thứ ba. Một khi đã xâm nhập thành công rồi, chúng sẽ tự do sao chép, lấy cắp tài sản quan trọng nhất của sàn giao dịch – kho ví nóng của sàn cùng các private key.
Tất nhiên, các sàn giao dịch lớn luôn triển khai rất nhiều tính năng bảo mật an ninh để đề phòng những thành phần độc hại. Nhưng từ những ví dụ điển hình nêu trên, có thể thấy rõ rằng chúng đã không hoàn thành được nhiệm vụ của mình.
Đó chính là lí do vì sao chúng ta cần các sàn giao dịch phân quyền. Chúng sở hữu những đặc điểm mà những đồng nghiệp tập quyền, vì thiết kế bất di bất dịch của mình, không có. Chính vì vậy, các sàn giao dịch phân quyền (decentralized exchange – gọi tắt là DEX) có thể cho chúng ta rất nhiều lợi ích nhằm cải thiệt mức độ an ninh.
Không có điểm tập trung quyền lực
Khác với những sàn tập quyền, DEX không bị bất kì chủ thể nào kiểm soát cả. Tất nhiên, domain mà người dùng chúng ta sử dụng để truy cập đến sàn thì vẫn là tập quyền, thế nhưng sẽ không có ai kiểm soát thị trường giao dịch trên sàn cả, cũng như sàn cũng sẽ không được tổ chức chỉ trên một server duy nhất.
Hiện tại, phần lớn các sàn giao dịch phân quyền đều dang được xây dựng trên bộ khung Blockchain Ethereum và được hỗ trợ bởi mạng lưới các node, thay vì server. Điều này đồng nghĩa với việc kẻ tấn công nếu muốn tiếp cận đến sàn thì phải tác động đến một nửa số node trên mạng lưới, vốn là một kì công không cá nhân nào có thể làm nổi.
Người dùng tự quản lý quỹ của mình
Và vì không chủ thể nào kiểm soát DEX, cũng sẽ không tồn tại trung tâm nào quản lý tiền đầu tư của người dùng. Nguyên lý hoạt động của các sàn phân quyền là không cần tín nhiệm, do đó người dùng lúc nào cũng nắm trong tay quyền quyết định đến với tiền của mình và mọi thương vụ giao dịch đều là ngang hàng với nhau.
Để làm được như trên, các sàn DEX hiện nay quản lý tiền bằng các hợp đồng thông minh (smart contract) cấp nguồn bởi Ethereum. Một khi tiền được khoá vào trong hợp đồng, chỉ có những bên với private key thích hợp mới đụng đến chúng được. Trong hệ thống tập quyền, bạn phải “giao nộp” private key của mình, và tất cả private key của người dùng sẽ bị dồn lại một đống đó để chờ bị tin tặc vào lấy cắp, bên cạnh kho ví nóng của sàn. Còn dưới hệ thống phân quyền, bạn sẽ luôn kiểm soát ví tiền điện tử của mình, miễn là bạn không để lộ nó cho một bên thứ ba nào đó thì tiền của bạn sẽ luôn an toàn trong an toàn trong hợp đồng thông minh của DEX.
Tích hợp ví cứng
Đây có lẽ là lợi ích lớn nhất mà DEX cung cấp. Hầu hết các sàn phân quyền hiện nay, như là EtherDelta và IDEX, đều có thể đồng nhất với các ví cứng như Ledger Nano S hay Trezor. Bên cạnh hình thức ví lạnh thì các ví cứng là lựa chọn an toàn nhất để lưu trữ và bảo vệ thông tin cá nhân, chúng miễn nhiễm với những malware thường dùng để tấn công các ví nóng. Sử dụng một ví cứng tương thích với DEX, bạn có thể cắm Ledger hay Trezor vào máy tính và chuyển tiền trực tiếp vào smart contract của sàn. Cách thức này thường được ưa chuộng hơn là phải tự tay nhập private key, vì chúng dễ bị dính hình thức tấn công phishing hay tệ hơn là keylog.
DEX vẫn còn một chặng đường dài phía trước
Tuy là lựa chọn tốt hơn so với các sàn giao dịch tập quyền, các sàn phân quyền hiện tại chưa phải là 100% hoàn hảo.
Như EtherDelta đã cho ta thấy hồi tháng 12 vừa qua, DEX vẫn dễ bị tấn công phishing thông qua tên domain của sàn. Dù vậy, những đặc điểm an ninh của loại hình sàn này vẫn giúp giảm thiểu tối đa khả năng hứng chịu thiệt hại. Những tài khoản nào mà sử dụng Meta Mask hay Ledger để quản lý tiền vẫn sẽ tuyệt đối an toàn kể cả khi truy cập vào các trang web lừa đảo, và nếu bạn không để lộ private key trên những tên miền giả thì tiền của bạn sẽ luôn an toàn trong smart contract.
Một điểm trừ khác DEX, cũng chính là nguyên nhân vì sao sàn tập quyền hiện tại lại đang phổ biến hơn sàn phân quyền: đó là chúng dễ sử dụng hơn. Những trader mới vào nghề chắc chắn sẽ phải “vò đầu bứt tai” với “mê hồn trận” smart contract trước khi có thể nghĩ đến chuyện giao dịch. Tất nhiên, bạn sẽ không phải đăng ký gì hay chờ xác nhận để nhận DEX, nhưng giờ xuất hiện cái phiền toái là bạn phải chuyển đi chuyển lại tiền từ ví cứng lên sàn rồi từ sàn về ví một khi muốn giao dịch với ai đó. Bên cạnh đó, bạn cũng phải lệ thuộc rất nhiều vào mạng lưới Ethereum mỗi khi muốn chuyển tiền hay mua bán. Nếu mạng lưới bị tắc nghẽn thì cùng lắm bạn phải chịu phí cao hay tệ nhất là treo máy.
Hiện tại đang có rất nhiều người tin tưởng sàn giao dịch phân quyền sẽ là tương lai của đầu tư tiền điện tử, vì nó hết sức cần thiết cho sự khoẻ mạnh về tài chính của mạng lưới và tồn vong của lĩnh vực này. Hy vọng, năm 2018 sẽ thúc đẩy hơn nữa hình thức giao dịch vẫn còn rất sơ khai này, giúp khắc phục và giảm thiểu những thiệt hại do những vụ tấn công vào các sàn giao dịch tuân theo tiêu chuẩn tập quyền ngày nay.
Theo CryptoCoinsNews