Tin tức 
Thông tin Coin 
Về chúng tôi 
Trong 6 tháng gần đây, các vụ tấn công vào những *“hợp đồng thông minh chưa được kiểm chứng”* trên thị trường *DeFi* đã gây thiệt hại ít nhất 36,7 triệu đô la Mỹ. Theo phân tích mới nhất từ công ty phân tích chuỗi khối Chainalysis, hacker đang chuyển trọng tâm sang các giao thức có mã nguồn không được công khai và kiểm chứng, cho thấy chiến lược “giấu mã” không còn là lá chắn an toàn như trước.
Theo Chainalysis, vụ thiệt hại lớn nhất đến từ dự án Truebit, hoạt động trên mạng Ethereum(ETH). Một hợp đồng thông minh của Truebit, tồn tại từ năm 2021 nhưng *chưa từng được kiểm chứng*, đã bị khai thác lỗ hổng tràn số nguyên (integer overflow), khiến dự án mất khoảng 26,2 triệu đô la Mỹ. Ngoài Truebit, các dự án khác như Trusted Volumes, Aperture Finance, Ekubo cũng trở thành nạn nhân của những đợt tấn công tương tự nhắm vào hợp đồng không công khai mã nguồn.
Chainalysis chỉ ra điểm chung của các vụ việc này là việc sử dụng *hợp đồng không được kiểm chứng* trên trình khám phá blockchain. Do mã nguồn không được công bố, các nhà nghiên cứu bảo mật khó có thể tiến hành rà soát độc lập, và nhiều hợp đồng dạng này còn bị loại khỏi các chương trình săn lỗi nhận thưởng (bug bounty). Điều này đồng nghĩa với việc những hợp đồng đang trực tiếp quản lý tài sản người dùng lại hoạt động ngoài vùng giám sát của cộng đồng, vô tình tạo “vùng mù” cho lỗ hổng bảo mật phát triển.
Bên cạnh đó, Chainalysis nhấn mạnh sự tiến bộ của các công cụ giải mã (decompile) và trí tuệ nhân tạo(AI) đang làm *giảm đáng kể độ khó tấn công* vào các hợp đồng chưa được kiểm chứng. Trước đây, một chuyên gia đảo ngược mã lành nghề có thể mất vài ngày chỉ để phân tích một hợp đồng. Hiện nay, với sự hỗ trợ của công cụ tự động và AI, kẻ tấn công có thể quét và phân tích hàng loạt hợp đồng *chưa công khai mã nguồn* để tìm kiếm lỗ hổng trong thời gian rất ngắn.
“Lập luận cho rằng *‘giấu mã thì sẽ an toàn hơn’* – vốn tồn tại khá lâu trong cộng đồng DeFi – đang nhanh chóng mất đi sức thuyết phục,” Chainalysis nhận định. *bình luận* Khi chi phí và rào cản kỹ thuật cho việc phân tích mã hợp đồng ngày càng thấp nhờ AI, “bảo mật bằng sự mù mờ” (security by obscurity) không chỉ kém hiệu quả mà còn tạo cảm giác an toàn giả cho dự án lẫn người dùng.
Trước bối cảnh các vụ tấn công vào *hợp đồng chưa được kiểm chứng* gia tăng, Chainalysis khuyến nghị DeFi nên chuyển dịch trọng tâm sang mô hình *bảo mật dựa trên tính minh bạch và khả năng kiểm chứng*. Cụ thể, báo cáo đề xuất:
- Công khai và *kiểm chứng mã nguồn* hợp đồng trên các trình khám phá blockchain.
- Mở rộng phạm vi các chương trình bug bounty, bao gồm cả những hợp đồng từng được coi là “nhạy cảm” hoặc “không nên công khai”.
- Tăng cường triển khai các hệ thống giám sát *theo thời gian thực* để phát hiện các hành vi bất thường trên hợp đồng thông minh, hạn chế thiệt hại khi bị khai thác.
Theo Chainalysis, kết luận quan trọng của báo cáo là: *trọng tâm bảo mật DeFi không nằm ở “bí mật” mà nằm ở “khả năng kiểm chứng”*. Trong môi trường ngày càng nhiều rủi ro, việc công khai mã nguồn, cho phép cộng đồng và chuyên gia liên tục rà soát, cùng với giám sát thường trực on-chain, đang dần trở thành tuyến phòng thủ cơ bản nhất cho các giao thức DeFi.
Trong một diễn biến liên quan, riêng trong tháng 4 năm nay, tổng thiệt hại từ các vụ hack tiền mã hóa đã lên tới khoảng 629,7 triệu đô la Mỹ, mức cao nhất theo tháng trong vòng một năm trở lại đây. Sang tháng 5, con số này giảm xuống còn khoảng 68,3 triệu đô la Mỹ, nhưng ảnh hưởng từ những vụ tấn công quy mô lớn vẫn còn kéo dài. *bình luận* Sự lặp lại của các sự cố bảo mật, đặc biệt là với các *hợp đồng chưa được kiểm chứng* trong lĩnh vực DeFi, đang khiến tâm lý cảnh giác của nhà đầu tư và người dùng trên toàn thị trường tăng lên rõ rệt, đồng thời đẩy nhu cầu về chuẩn an toàn và minh bạch ngày càng cao.
Bình luận 0