1. Ý kiến

Thống nhất các lỗ hổng kỹ thuật và con người trong bảo mật tiền điện tử

  • 31/03/2025

Tiền điện tử nhắm đến việc mang lại tự do tài chính nhưng gặp khó khăn về bảo mật. Việc chuyển trọng tâm từ việc đổ lỗi cho người dùng sang nâng cao các biện pháp bảo vệ hệ thống là rất quan trọng.

Ý kiến của: Andrey Sergeenkov, nhà nghiên cứu, nhà phân tích và nhà văn

Ngành công nghiệp tiền điện tử thường hứa hẹn về tài chính phi tập trung, phục vụ những người không có tài khoản ngân hàng và loại bỏ các trung gian. Tuy nhiên, những tầm nhìn lớn lao này thường bị làm mờ bởi các vụ vi phạm bảo mật, dẫn đến những tổn thất lớn.

Một ví dụ đáng chú ý xảy ra vào ngày 21 tháng 2 năm 2025, khi nhóm Lazarus thực hiện một cuộc tấn công tinh vi vào Bybit, đánh cắp 1,46 tỷ đô la. Các hacker đã gửi email lừa đảo đến nhân viên có quyền truy cập vào ví lạnh, xâm nhập các tài khoản này và thao túng giao diện của Bybit để thay thế hợp đồng ví đa chữ ký bằng phiên bản độc hại. Điều này cho phép họ chuyển hướng 499.000 Ether (ETH) đến các địa chỉ do họ kiểm soát trong quá trình chuyển tiền thường xuyên.

Sự cố này không chỉ là lỗi của con người mà còn là một lỗ hổng thiết kế đáng kể. Một hệ thống cho phép các yếu tố con người tạo điều kiện cho một vụ trộm khổng lồ như vậy không phải là sáng tạo; nó là sự cẩu thả nguy hiểm.

Người dùng vẫn chưa được bảo vệ

Các hacker nhanh chóng chuyển đổi 499.000 ETH bị đánh cắp thành tài sản không thể truy tìm, chủ yếu sử dụng THORChain, đã xử lý một lượng giao dịch chưa từng có là 4,66 tỷ đô la trong vòng một tuần mà không có bất kỳ biện pháp nào để ngăn chặn các giao dịch đáng ngờ.

Ngành công nghiệp tiền điện tử đã phát triển một khung làm việc không bảo vệ người dùng ngay cả sau khi các vụ trộm được phát hiện. Một số thực thể thậm chí còn hưởng lợi tài chính từ những tội phạm này, kiếm hàng triệu đô la phí bằng cách tạo điều kiện cho việc rửa tiền bị đánh cắp.

Vào tháng 2 năm 2025, các nhà điều tra ZachXBT và Tanuki42 đã báo cáo rằng người dùng Coinbase đang mất hơn 300 triệu đô la mỗi năm do các cuộc tấn công kỹ thuật xã hội. Kết quả nghiên cứu của họ cho thấy 65 triệu đô la đã bị đánh cắp thông qua lừa đảo và các kỹ thuật thao túng xã hội khác trong tháng 12 năm 2024 và tháng 1 năm 2025. Họ đã chỉ trích Coinbase vì không giải quyết các lỗ hổng đã biết trong khóa API và hệ thống xác minh của họ, điều này đã tạo điều kiện cho các cuộc tấn công này.

ZachXBT đã chỉ ra sự hỗ trợ khách hàng không đầy đủ của Coinbase và việc không báo cáo các địa chỉ trộm cắp cho các công cụ giám sát blockchain, làm phức tạp việc thu hồi các quỹ bị đánh cắp. Một kẻ lừa đảo thậm chí còn thừa nhận nhắm vào người dùng giàu có, tuyên bố lợi nhuận hàng tuần ở mức năm con số.

Những sự cố này không phải là cá biệt. Cục Điều tra Liên bang Hoa Kỳ đã báo cáo rằng người dùng tiền điện tử đã mất hơn 5,6 tỷ đô la do gian lận trong năm 2023, với kỹ thuật xã hội là một yếu tố chính. Ước tính rằng người Mỹ mất từ 2 tỷ đến 3 tỷ đô la mỗi năm do các cuộc tấn công này, với tổn thất toàn cầu từ kỹ thuật xã hội đạt từ 6 tỷ đến 15 tỷ đô la trong năm 2024.

Bảo mật: Rào cản lớn đối với việc áp dụng

Các mối quan ngại về bảo mật hiện được công nhận là trở ngại chính đối với việc áp dụng tiền điện tử, với 37% người dùng toàn cầu trích dẫn vấn đề này. Trong khi đó, ngành công nghiệp tiếp tục đẩy mạnh các tài sản đầu cơ rủi ro cao như memecoin, thường dẫn đến tổn thất cho người dùng trung bình trong khi những người bên trong hưởng lợi.

Bất chấp lời hứa về tự do tài chính, hàng triệu người đang mất tiền tiết kiệm của họ do các lỗ hổng mà ngành công nghiệp chưa giải quyết hiệu quả. Điều này phản ánh một vấn đề sâu sắc hơn: sự ưu tiên của tiếp thị hơn bảo mật bởi các nhà phát triển tiền điện tử.

Khi các vụ vi phạm bảo mật xảy ra, các nhà lãnh đạo ngành thường dựa vào nguyên tắc 'mã là luật', nhấn mạnh tự chủ và trách nhiệm cá nhân. Họ thường khuyên người dùng không lưu trữ khóa trực tuyến, kiểm tra lại địa chỉ trước khi giao dịch và không bao giờ mở các tệp đáng ngờ.

Ngay cả các chuyên gia cũng không miễn nhiễm

Ngay cả những chuyên gia có kinh nghiệm trong ngành cũng không miễn nhiễm với các cuộc tấn công này. Vào tháng 1 năm 2024, đồng sáng lập Ripple Chris Larsen đã mất 283 triệu XRP do lưu trữ khóa riêng tư trong trình quản lý mật khẩu trực tuyến. Tương tự, Arthur_0x của DeFiance Capital đã mất 1,6 triệu đô la trong NFTs và tiền điện tử sau khi mở một tệp PDF lừa đảo.

Những cá nhân này không phải là người mới bắt đầu; họ là kiến trúc sư của chính các hệ thống đã không bảo vệ họ. Mặc dù có kiến thức về các giao thức bảo mật, yếu tố con người vẫn là một lỗ hổng. Nếu các chuyên gia có thể mất hàng triệu đô la, thì người dùng bình thường có hy vọng gì?

Nhận thức về bảo mật đơn độc là không đủ vì các yếu tố như bệnh tật, căng thẳng hoặc mệt mỏi có thể làm suy yếu khả năng ra quyết định. Các kẻ tấn công liên tục tinh chỉnh phương pháp của họ, khai thác những khoảnh khắc dễ bị tổn thương với các kịch bản và mạo danh ngày càng tinh vi.

Tính chất không thể đảo ngược của các giao dịch blockchain đòi hỏi các biện pháp bảo vệ mạnh mẽ. Nếu người dùng không thể hoàn tác các sai lầm hoặc trộm cắp, hệ thống phải ngăn chặn chúng xảy ra. Sự đổi mới thực sự liên quan đến việc thiết kế các hệ thống cho người thật, không chỉ là người dùng lý thuyết hoàn hảo. Ngân hàng truyền thống đã học được bài học này theo thời gian; ngành công nghiệp tiền điện tử phải làm điều đó nhanh hơn.

Tuy nhiên, các nhà lãnh đạo ngành dường như đã tách rời khỏi những thực tế này, thường bị cuốn vào câu chuyện của chính họ về thiên tài và tầm nhìn.

Lời kêu gọi hành động

Các nhà lãnh đạo như Vitalik Buterin tập trung vào các vấn đề xã hội rộng lớn hơn và các bản tuyên ngôn triết học, trong khi những người khác, như Justin Sun, tham gia vào các trò đùa nổi bật. Những hành động này làm phân tâm khỏi nhu cầu cấp bách phải xây dựng một môi trường an toàn.

Có giá trị kỹ thuật nào trong các hệ thống cho phép các vụ trộm trị giá hàng tỷ đô la và gian lận rộng rãi đối với người dùng bình thường? Sự xuất sắc kỹ thuật thực sự nên ưu tiên bảo vệ người dùng khỏi mất mát tài chính không thể đảo ngược. Một hệ thống tài chính không thể bảo vệ tài sản của người dùng không phải là tiên tiến; nó là một lỗi cơ bản.

Đã đến lúc vượt qua các bản tuyên ngôn và các trò đùa gây chú ý. Trọng tâm nên là tạo ra các biện pháp bảo vệ thực sự phù hợp với rủi ro mà người dùng phải đối mặt. Sự đổi mới blockchain là vô nghĩa nếu mọi người không thể sử dụng các hệ thống này mà không sợ mất mát tài chính ngay lập tức và vĩnh viễn.

Bất cứ điều gì ít hơn chỉ là thí nghiệm liều lĩnh với chi phí của người dùng, ngụy trang dưới dạng một cuộc cách mạng. Nó mang lại lợi ích cho những người sáng lập và những người bên trong trong khi người dùng bình thường phải gánh chịu tất cả các rủi ro.

Nếu ngành công nghiệp không giải quyết vấn đề này, các cơ quan quản lý sẽ can thiệp, và giải pháp của họ có thể không có lợi. Các lập luận triết học về tự chủ sẽ không còn ý nghĩa khi giấy phép bị thu hồi và hoạt động bị đóng cửa.

Ngành công nghiệp tiền điện tử đang đối mặt với một lựa chọn quan trọng: hoặc xây dựng các hệ thống thực sự an toàn để xác thực các tuyên bố về đổi mới tài chính hoặc đối mặt với sự chuyển đổi của cơ quan quản lý thành một dịch vụ tài chính khác bị quy định nghiêm ngặt. Thời gian đang trôi qua.

Ý kiến của: Andrey Sergeenkov, nhà nghiên cứu, nhà phân tích và nhà văn.

Bài viết này chỉ nhằm mục đích cung cấp thông tin chung và không nhằm và không nên được coi là lời khuyên pháp lý hoặc đầu tư. Quan điểm, suy nghĩ và ý kiến được thể hiện ở đây là của riêng tác giả và không nhất thiết phản ánh hoặc đại diện cho quan điểm và ý kiến của bất kỳ tổ chức nào.

Theo Cointelegraph

Tin khác

Cuộc Chiến Thống Trị Stablecoin

  • 23/11/2024

Chỉ riêng phi tập trung không thể thay thế nhu cầu về quy định trong DeFi

  • 15/11/2024

Bốn Dự Đoán Táo Bạo về Vai Trò của Bitcoin trong Cuộc Bầu Cử Tổng Thống Mỹ 2024

  • 08/10/2024

Mở khóa tiềm năng của Bitcoin: Vai trò của mạng Layer 0

  • 10/12/2024

Bảo vệ Phi tập trung: Chiến lược Nâng cao Giá trị Cốt lõi của Bitcoin

  • 09/01/2025