Đôi dòng chia sẻ về vấn đề bảo mật trong giới crypto.

 Đôi dòng chia sẻ về vấn đề bảo mật trong giới crypto.

1. Thực trạng
  • Bị hack rất nhiều và hàng ngày, nhưng chỉ những vụ hack gây thiệt hại lớn hoặc của những project nổi tiếng mới gây sự chú ý
  • 2021 và năm nay cũng là năm khủng hoảng về security trên toàn thế giới, không chỉ là blockchain. Điển hình là 2 vụ log4j và polkit, ảnh hưởng nghiêm trọng đến hầu hết các dịch vụ chạy trên internet. Ở VN cũng có ONUS bị hack vì 0day trên log4j.
  • Có 2 điểm tấn công/khai thác chính: Smartcontract & Centralized point
  • Đặc trưng của các dự án crypto là hầu hết đều open, nên dễ bị khai thác nếu có lỗ hổng.
2. Lý do
  • Không cẩn thận, cẩu thả trong việc lập trình hoặc trong khâu QA, QC
  • Chủ quan, không chú trọng security
  • Kiến thức chưa đủ sâu
  • Chưa bố trí nguồn lực đủ cho security
  • Đen vâu
3. Lưu ý/giải pháp
  • Trang bị kiến thức thật sâu, để hiểu cặn kẽ, tránh hiểu lơ mơ.
  • Cẩn thận hơn trong mọi khâu
  • Thường xuyên theo dõi tin tức và các công bố, nghiên cứu trên cộng đồng hacker & security trên thế giới để cập nhật tin tức mới nhất và update hệ thống kịp thời và rút kinh nghiệm từ những sai lầm của các dự án khác.
  • Hợp tác với các đối tác uy tín về bảo mật để giảm thiểu rủi ro, nhiều bên thì càng tốt để kiểm tra chéo và hạn chế các vấn đề chưa lường trước được.
  • Tăng cường giám sát hệ thống. Như Ronin chain bị hack 5 ngày mới biết do hết quỹ và user không rút được tiền, chứng tỏ giám sát lỏng lẻo hoặc thiếu hệ thống giám sát.
  • Trong CNTT, không ai có thể nói mạnh rằng hệ thống của tôi không thể bị hack, nên cần chuẩn bị trước mọi thứ cho kịch bản bị hack để giảm thiểu rủi ro.
-----
Trên đây là góc nhìn cá nhân để tự bản thân mình rút kinh nghiệm. Bản thân mình triển khai hệ thống cũng khó tránh khỏi những thiếu sót và cũng chưa chắc đã làm tốt bằng Sky Mavis hay ONUS.
Mình xin được chia sẻ những mất mát từ những anh em làm project bị khai thác, tấn công, cũng như cộng đồng user chịu thiệt hại về tài sản mã hóa từ những vụ tấn công đó.

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Tấn công thao túng giá trong DeFi - đơn giản, hay gặp nhưng khó nhận diện

Trong thị trường DEFI, Mọi người hay nghe đến các vụ tấn công liên quan đến flashloan, nhưng thực chất thì flashloan không phải một lỗ hổng, cũng không phải phương thức tấn công, nó chỉ là một công cụ để thực hiện những cuộc tấn công phức tạp, trong đó phương thức tấn công thao túng giá. Tấn công thao túng giá là phương thức tấn công phổ biến nhất, nguyên nhân và cách thức tấn công (chi tiết) cũng đa dạng. Bài viết này nói đến mindset chung của phương thức tấn công, một số case cụ thể và cách phòng tránh. Trong bất kỳ thị trường nào, khi biết chắc chắn giá sẽ tăng hoặc giảm, thì bạn chắc chắn có thể kiếm được lợi nhuận. Vậy, hãy đặt câu hỏi, nếu bạn có thể chủ động khiến giá tăng hoặc giảm thì sao. Trong thị trường chứng khoán và cả crypto, thì có rất nhiều đội lái, nhiều cá mập, cá voi làm việc đó với một nguồn lực lớn và một kế hoạch bài bản, dài hạn, họ cũng có thể thao túng giá và kiếm được lợi nhuận. Nhưng đối với những con sói(tôi hay gọi những hacker, những kẻ tấn công, là những
Đọc thêm

Ai bảo bitcoin là hữu hạn

Hình ảnh
 Mỗi cộng đồng, mỗi quốc gia, dân tộc, tôn giáo đều có một quá trình lịch sử. Đối với các thể chế tập trung như quốc gia, tôn giáo, thì lịch sử được lưu truyền chưa chắc đã đồng nghĩa với sự thật - nó được viết nên, sửa đổi bởi những người chiến thắng. Nhưng đối với các cộng đồng blockchain, đặc biệt là bitcoin, với tuổi đời còn rất trẻ (13 năm) thì sự thật vẫn là sự thật, mọi dấu vết hầu như vẫn còn nguyên vẹn. Lịch sử của Bitcoin không chỉ nằm ở các giao dịch được lưu trữ lại trên blockchain, mà còn nằm ở những đề xuất nâng cấp bitcoin (bitcoin improvement proposal). Nếu ví code chính là luật, consensus chính là luật, là kinh thánh của tôn giáo bitcoin, thì mỗi BIP là 1 lần sửa đổi kinh thánh, sửa đổi hiến pháp, luật pháp. Hơn 100 BIP, bao gồm cả được chấp nhận và không được chấp nhận, đều được lưu trữ vẹn nguyên, như những trang sử hào hùng và nhiều thăng trầm của một tôn giáo mới, với một hệ tư tưởng mới, tự do và phóng khoáng. Không chỉ đọc code, tôi thích đọc lại các commit, các
Đọc thêm

Cafe sáng blockchain - tập 1. PHI TẬP TRUNG (decentralized)

  PHI TẬP TRUNG   (decentralized) Bản chất của phi tập trung và các hiểu lầm phổ biến. --- Có nhiều bạn không phải dân kỹ thuật đã từng hỏi mình: " Phi tập trung trong blockchain"  nghĩa là dữ liệu được lưu trữ ở nhiều nơi, nên sẽ không lo hỏng hóc và không sợ mất dữ liệu đúng không? Mình đã trả lời là  không , các hệ thống blockchain đúng là có đặc điểm đó, nhưng nó không phải sự thể hiện của tính phi tập trung, mà là sự thể hiện của đặc tính phân tán ( distributed ). ( distributed  bao hàm  decentralized , nhưng không đồng nghĩa) Dữ liệu hệ thống của Symper được lưu trữ trên 30 server, nhưng nó không phải là một hệ thống phi tập trung (Mình, CTO, vẫn có toàn quyền xử lý dữ liệu trên đó) Dữ liệu của Facebook, Google lưu trữ trên nhiều ngàn server, nhưng đó cũng không phải là 1 hệ thống phi tập trung, mà là hệ thống phân tán.Nhân sự quản trị hệ thống của họ vẫn có toàn quyền xử lý dữ liệu. Post các bạn đang đọc được lưu trữ thành nhiều bản sao, lưu trữ ở nhiều server của Face
Đọc thêm

Tổng số lượt xem trang