1. Ý kiến

Tầm quan trọng của các giải pháp lưu ký nâng cao cho doanh nghiệp

  • 01/05/2025

Các giải pháp lưu ký nâng cao cung cấp bảo mật mạnh mẽ và minh bạch để bảo vệ tài sản kỹ thuật số một cách hiệu quả.

Ý kiến của: Vikash Singh, Nhà đầu tư chính tại Stillmark

Vụ hack Bybit, dẫn đến mất mát lớn nhất của quỹ từ các hacker mạng bởi một sàn giao dịch tiền điện tử trong lịch sử, đã là một hồi chuông cảnh tỉnh cho những ai chủ quan về các mối đe dọa bảo mật trong không gian tài sản kỹ thuật số. Bài học từ vụ cướp này rất rõ ràng - các giải pháp lưu ký cấp doanh nghiệp phải kết hợp công nghệ tiên tiến với sự minh bạch.

Khác với nhiều sự cố trước đây, mất mát này là do một cuộc tấn công kỹ thuật xã hội tinh vi đã khai thác các lỗ hổng bảo mật hoạt động thay vì các vấn đề như hợp đồng thông minh lỗi, mất hoặc quản lý sai khóa, hoặc cố tình quản lý sai quỹ của người dùng.

Sự cố này, ảnh hưởng đến một sàn giao dịch toàn cầu lớn được biết đến với cam kết về bảo mật và tuân thủ, là một lời nhắc nhở rõ ràng rằng trong thế giới tiền điện tử, bảo mật không bao giờ có thể được coi là 'đủ tốt'.

Phân tích một vụ cướp

Việc hiểu rõ chi tiết kỹ thuật của vụ tấn công Bybit là rất quan trọng đối với các công ty nhằm tăng cường các biện pháp bảo mật của họ. Vụ vi phạm bắt đầu khi một máy phát triển tại Safe, một nền tảng quản lý tài sản cung cấp ví Ethereum multisig được sử dụng bởi Bybit, bị xâm nhập. Vụ vi phạm ban đầu này đã cho phép các kẻ tấn công truy cập trái phép vào môi trường Amazon Web Services (AWS) của Safe, bao gồm cả thùng chứa S3 của nó.

Các kẻ tấn công sau đó đã tải lên một tệp JavaScript độc hại vào thùng chứa này, được phân phối cho người dùng thông qua giao diện người dùng của Safe. Mã JavaScript này đã thay đổi chi tiết giao dịch được hiển thị cho người dùng trong quá trình ký, lừa họ phê duyệt chuyển tiền sang ví của các kẻ tấn công dưới vỏ bọc của các giao dịch hợp pháp.

Sự cố này nhấn mạnh rằng ngay cả các biện pháp bảo mật kỹ thuật mạnh mẽ như multisig cũng có thể dễ bị tổn thương nếu không được triển khai đúng cách, có thể dẫn đến cảm giác an toàn giả mạo giữa người dùng.

Bảo mật nhiều lớp

Mặc dù các thiết lập bảo mật multisignature đã từ lâu được coi là đỉnh cao của bảo mật tài sản kỹ thuật số, vụ hack Bybit nhấn mạnh sự cần thiết của một sự kiểm tra sâu hơn và minh bạch trong cách triển khai các hệ thống này. Điều này bao gồm việc hiểu các lớp bảo mật bảo vệ chống lại các cuộc tấn công nhắm vào bảo mật hoạt động và các yếu tố con người, ngoài việc xác minh các hợp đồng thông minh.

Một khung bảo mật mạnh mẽ để bảo vệ tài sản kỹ thuật số nên nhấn mạnh vào việc xác minh nhiều lớp và hạn chế phạm vi của các tương tác tiềm năng. Khung này sẽ tăng cường đáng kể bảo vệ chống lại các cuộc tấn công khác nhau.

Một hệ thống được thiết kế tốt sẽ bao gồm một quy trình xác minh toàn diện cho tất cả các giao dịch. Ví dụ, một hệ thống xác minh kiểm tra ba lần bao gồm ứng dụng di động xác minh dữ liệu của máy chủ, máy chủ kiểm tra dữ liệu của ứng dụng di động, và ví phần cứng xác minh dữ liệu của máy chủ. Nếu bất kỳ kiểm tra nào thất bại, giao dịch sẽ không được ký. Cách tiếp cận nhiều lớp này đối lập với các hệ thống tương tác trực tiếp với các hợp đồng trên chuỗi, có thể thiếu các kiểm tra quan trọng bên phía máy chủ cần thiết cho khả năng chịu lỗi, đặc biệt nếu giao diện người dùng bị xâm phạm.

Một khung bảo mật cũng nên hạn chế phạm vi của các tương tác có thể với các kho tài sản kỹ thuật số. Hạn chế các hành động chỉ còn những điều cần thiết như gửi, nhận và quản lý người ký giảm thiểu các vectơ tấn công tiềm năng liên quan đến việc sửa đổi hợp đồng thông minh phức tạp.

Sử dụng một ứng dụng di động chuyên dụng cho các hoạt động nhạy cảm, chẳng hạn như tạo và hiển thị giao dịch, thêm một lớp bảo mật khác. Các nền tảng di động thường có khả năng kháng lại sự xâm nhập và giả mạo tốt hơn so với ví dựa trên trình duyệt hoặc giao diện multisig, từ đó nâng cao tổng thể tư thế bảo mật.

Nâng cao tính minh bạch

Để cải thiện tính minh bạch, các doanh nghiệp có thể sử dụng phần mềm chứng minh dự trữ. Phần mềm này có thể bảo vệ các thiết lập lưu ký multisignature khỏi các cuộc tấn công nhắm vào giao diện người dùng bằng cách cung cấp một cái nhìn độc lập, tự kiểm tra về trạng thái và quyền sở hữu của blockchain, xác minh rằng bộ khóa đúng có sẵn để chi tiêu quỹ trong một địa chỉ hoặc hợp đồng nhất định, tương tự như một kiểm tra sức khỏe.

Khi nhiều tổ chức chấp nhận Bitcoin và tài sản kỹ thuật số hơn, các nhà cung cấp lưu ký phải giao tiếp rõ ràng về mô hình bảo mật của hệ thống của họ và lý do đằng sau các quyết định thiết kế của họ. Mức độ minh bạch này là 'tiêu chuẩn vàng' thực sự của bảo mật tiền điện tử.

Tính minh bạch cũng nên bao gồm cách tính chất của các giao thức cơ bản ảnh hưởng đến bề mặt tấn công của các thiết lập lưu ký, bao gồm cả ví multisignature. Bitcoin ưu tiên các giao dịch có thể xác minh bởi con người, nơi người ký trực tiếp xác nhận các địa chỉ đích thay vì tham gia vào các hợp đồng thông minh phức tạp, yêu cầu thêm các bước để theo dõi dòng tiền.

Trong trường hợp vụ hack Bybit, tính minh bạch như vậy sẽ cho phép người ký nhận biết dễ dàng hơn rằng địa chỉ được hiển thị bởi ví phần cứng không khớp với địa chỉ được hiển thị trong giao diện người dùng giả mạo.

Mặc dù các hợp đồng thông minh biểu đạt mở rộng tiềm năng phát triển ứng dụng, chúng cũng làm tăng bề mặt tấn công và làm phức tạp các kiểm tra bảo mật chính thức. Các tiêu chuẩn multisignature được thiết lập của Bitcoin, bao gồm một mã lệnh multisig gốc, cung cấp thêm các rào cản bảo mật chống lại các cuộc tấn công như vậy. Giao thức Bitcoin từ lâu đã ưu tiên sự đơn giản trong thiết kế của nó, giảm bề mặt tấn công ở cả lớp hợp đồng thông minh và lớp trải nghiệm người dùng, bao gồm cả người dùng ví phần cứng.

Sự chấp nhận quy định ngày càng tăng cho thấy Bitcoin đã đi xa như thế nào từ những ngày đầu của các vụ hack và gian lận lan rộng, nhưng sự cố Bybit nhắc nhở chúng ta phải luôn cảnh giác. Bitcoin đại diện cho sự tự do tài chính, và giá của tự do là sự cảnh giác vĩnh viễn.

Ý kiến của: Vikash Singh, Nhà đầu tư chính tại Stillmark.

Bài viết này chỉ nhằm mục đích thông tin chung và không nhằm và không nên được coi là lời khuyên pháp lý hoặc đầu tư. Các quan điểm, suy nghĩ và ý kiến được thể hiện ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của bất kỳ tổ chức nào.

Theo Cointelegraph

Tin khác

Cách tái cược nâng cao bảo mật cho các nhà giao dịch tổ chức trong DeFi

  • 01/05/2025

Blockchain: Giải pháp ưu việt hơn so với Hộ chiếu Sản phẩm Kỹ thuật số của EU để chống gian lận thực phẩm

  • 30/04/2025

Chi Phí của Đổi Mới: Tại Sao Quy Định Là Tài Sản Lớn Nhất của Web3

  • 27/04/2025

Tích hợp Token DePIN vào Kho Dự Trữ Tài Sản Kỹ Thuật Số Quốc Gia

  • 26/04/2025

Dẫn dắt sự phát triển của tiền điện tử với tài chính đạo đức

  • 25/04/2025