Bảo mật DeFi: Cách cầu nối không cần tin cậy có thể giúp bảo vệ người dùng

Cầu nối chuỗi khối cho phép người dùng tài chính phi tập trung (DeFi) sử dụng cùng một mã thông báo trên nhiều chuỗi khối. Ví dụ: nhà giao dịch có thể sử dụng USD Coin (USDC) trên chuỗi khối Ethereum hoặc Solana để tương tác với các ứng dụng phi tập trung (DApps) trên các mạng đó.
Mặc dù các giao thức này có thể thuận tiện cho người dùng DeFi nhưng chúng có nguy cơ bị các tác nhân độc hại khai thác. Ví dụ: trong năm qua, cầu Wormhole – một cầu nối tiền điện tử xuyên chuỗi phổ biến giữa Solana, Ethereum, Avalanche và những loại khác – đã bị tấn công, trong đó những kẻ tấn công đã đánh cắp số Ethereum được bao bọc (wETH) trị giá hơn 321 triệu đô la, vụ hack lớn nhất trong DeFi lịch sử lúc bấy giờ.
Chỉ hơn một tháng sau, vào ngày 23 tháng 3 năm 2022, cầu Ronin Network — sidechain dựa trên Ethereum của Axie Infinity — đã bị hack với số tiền hơn 620 triệu USD và vào ngày 2 tháng 8, cầu Nomad đã bị hack với số tiền hơn 190 triệu USD. Tổng cộng, hơn 2,5 tỷ USD đã bị đánh cắp từ các cây cầu xuyên chuỗi từ năm 2020 đến năm 2022.
Cầu nối không cần sự tin cậy, được gọi là cầu nối không giám sát hoặc phi tập trung, có thể cải thiện tính bảo mật của người dùng khi chuyển tiền xuyên chuỗi.
Cầu blockchain là gì?
Cầu nối chuỗi chéo là một công nghệ cho phép gửi tài sản hoặc dữ liệu từ mạng blockchain này sang mạng blockchain khác. Những cầu nối này cho phép hai hoặc nhiều mạng blockchain riêng biệt giao tiếp với nhau và chia sẻ thông tin. Khả năng tương tác được cung cấp bởi các cầu nối chuỗi chéo giúp di chuyển tài sản từ mạng này sang mạng khác.
Gần đây: SEC đấu với Kraken: Một loạt đạn mở đầu hoặc một lần trong cuộc tấn công vào tiền điện tử?
Hầu hết các công nghệ bắc cầu đều sử dụng hợp đồng thông minh trên cả hai chuỗi khối để thực hiện các giao dịch xuyên chuỗi.
Cầu nối chuỗi chéo có thể di chuyển nhiều tài sản, chẳng hạn như tiền điện tử, mã thông báo kỹ thuật số và các dữ liệu khác. Việc sử dụng những cầu nối này giúp các mạng blockchain khác nhau hoạt động cùng nhau dễ dàng hơn và giúp người dùng tận dụng các tính năng và lợi ích riêng của từng mạng.
Cầu tin cậy và cầu không tin cậy
Khi nói đến các giao thức bắc cầu, có hai loại chính, cầu nối tập trung (đáng tin cậy) và cầu nối phi tập trung (không tin cậy). Những cầu nối đáng tin cậy được quản lý bởi các thực thể tập trung, có quyền giám sát các mã thông báo sau khi chúng được chuyển đến cầu nối. Rủi ro lớn với cầu nối giám sát là điểm lỗi duy nhất (cơ quan giám sát tập trung), khiến nó trở thành mục tiêu dễ dàng hơn cho các nỗ lực hack.
Thay vì sử dụng người giám sát tập trung để chuyển token qua các chuỗi khối, cầu nối không cần sự tin cậy sử dụng hợp đồng thông minh để hoàn tất quy trình.
Hợp đồng thông minh là các chương trình tự động thực hiện một số hành động nhất định khi các điều kiện được đáp ứng. Do đó, cầu nối không cần sự tin cậy được coi là giải pháp thay thế an toàn hơn vì mỗi người dùng duy trì quyền giám sát mã thông báo của họ trong quá trình chuyển giao.
Tuy nhiên, những cây cầu không cần sự tin cậy vẫn có thể bị xâm phạm nếu mã hợp đồng thông minh có những lỗ hổng không được nhóm phát triển xác định và sửa chữa.
Pascal Berrang, nhà nghiên cứu blockchain và nhà phát triển cốt lõi tại Nimiq, một giao thức thanh toán dựa trên blockchain, nói với Cointelegraph: “Nói chung, việc sử dụng các cầu nối chuỗi chéo gây ra những rủi ro bổ sung khi sử dụng một blockchain duy nhất”.
“Nó làm tăng bề mặt tấn công thông qua chuỗi khối, người giám sát tiềm năng và hợp đồng thông minh. Có nhiều loại cầu nối chuỗi khác nhau, đi kèm với những đánh đổi khác nhau về những rủi ro này.” Anh ấy tiếp tục:
 “Cầu nối chuỗi chéo đương nhiên liên quan đến hai hoặc nhiều chuỗi khối, thường sử dụng các cơ chế bảo mật riêng biệt. Do đó, tính bảo mật của tài sản cầu nối phụ thuộc vào blockchain yếu nhất có liên quan đến cầu nối. Ví dụ: nếu một trong các chuỗi khối bị tấn công, nó có thể hoàn nguyên hoán đổi chuỗi chéo trên một trong các chuỗi nhưng không phải trên chuỗi kia – dẫn đến mất cân bằng tài sản.”
Berrang cũng nhấn mạnh các lỗ hổng liên quan đến tài sản cầu nối bị khóa trong cầu. “Tiền thường được lưu trữ hoặc khóa ở một vị trí trung tâm, tạo thành một điểm lỗi duy nhất. Tùy thuộc vào loại cầu, các quỹ này phải chịu những rủi ro khác nhau: Trong một cây cầu dựa trên hợp đồng thông minh, các lỗi trong các hợp đồng đó có thể khiến tài sản cầu nối trở nên vô giá trị”, Berrang nói.
“Một ví dụ có thể là một lỗi cho phép khai thác vô hạn các token bắc cầu mới. Những cây cầu mà người giám sát đáng tin cậy vận hành sẽ phải chịu rủi ro đối tác nếu người giám sát hành xử sai hoặc chìa khóa của họ bị đánh cắp,” ông nói thêm.
Jeremy Musighi, người đứng đầu bộ phận tăng trưởng tại Balancer, một nhà tạo lập thị trường tự động, tin rằng những rủi ro bổ sung nằm ở sự phức tạp của các cầu nối blockchain, nói với Cointelegraph rằng “Cầu nối chuỗi chéo có một số rủi ro đáng kể. Bảo mật là một trong những rủi ro lớn nhất; do sự phức tạp và khó khăn trong việc triển khai các cầu nối chuỗi chéo, chúng dễ mắc lỗi và lỗ hổng mà các tác nhân độc hại có thể khai thác để đánh cắp tài sản hoặc thực hiện các hành động độc hại khác”.
Musighi cũng lưu ý rằng các vấn đề về khả năng mở rộng gây ra nhiều rủi ro hơn cho quá trình bắc cầu, ông cho biết: “Một rủi ro khác là khả năng mở rộng, vì các cầu nối chuỗi chéo có thể không xử lý được lượng lớn lưu lượng truy cập, dẫn đến sự chậm trễ và tăng chi phí cho người dùng”.
Bảo vệ cây cầu khỏi bị khai thác
Các nhà phát triển có thể ngăn chặn các cầu nối chuỗi chéo bị tấn công bằng cách thực hiện một số biện pháp bảo mật giúp đảm bảo tính bảo mật, tính toàn vẹn và tính xác thực của tài sản được chuyển giao.
Một trong những biện pháp quan trọng nhất là đảm bảo rằng mã hợp đồng thông minh tạo thành cốt lõi của các cầu nối chuỗi chéo được an toàn và không có lỗ hổng. Điều này có thể đạt được thông qua kiểm tra bảo mật thường xuyên, các chương trình thưởng lỗi và đánh giá mã, giúp xác định và khắc phục các vấn đề bảo mật tiềm ẩn.
Một biện pháp khác mà các nhà phát triển có thể thực hiện là sử dụng thuật toán mã hóa, chẳng hạn như chữ ký số và hàm băm, để đảm bảo việc chuyển giao tài sản và thông tin giữa các mạng blockchain khác nhau. Điều này giúp đảm bảo rằng tài sản được chuyển giao được bảo vệ và bất kỳ tác nhân độc hại nào cũng không thể can thiệp vào quá trình chuyển giao.
Hơn nữa, việc giám sát mạng thường xuyên là điều cần thiết để phát hiện hoạt động đáng ngờ và ngăn chặn các cuộc tấn công. Bằng cách giám sát mạng, các nhà phát triển có thể phát hiện mọi vấn đề bảo mật và thực hiện hành động thích hợp để giải quyết chúng trước khi chúng gây ra bất kỳ tác hại nào.
Cuối cùng, việc phát triển và triển khai các cầu nối chuỗi chéo an toàn đòi hỏi phải tuân theo các phương pháp thực hành tốt nhất, chẳng hạn như thực hành mã hóa an toàn, kiểm tra và gỡ lỗi cũng như các phương pháp triển khai an toàn. Khi làm như vậy, các nhà phát triển có thể giúp đảm bảo tính bảo mật và ổn định của các cầu nối chuỗi chéo.
Để ngăn chặn các cầu nối chuỗi chéo khỏi bị hack đòi hỏi sự kết hợp của mã bảo mật, thuật toán mã hóa, cơ chế đồng thuận mạnh mẽ, giám sát mạng và tuân theo các phương pháp hay nhất.
Những cây cầu không cần sự tin cậy có phải là giải pháp tốt hơn không?
Cầu nối không cần tin cậy có thể cung cấp giải pháp an toàn hơn để kết nối tài sản trên các chuỗi khối chỉ khi mã hợp đồng thông minh đã được kiểm tra đầy đủ để đảm bảo không có lỗ hổng nào.
Lợi ích bảo mật chính của cầu nối không cần sự tin cậy là người dùng duy trì quyền giám sát mã thông báo của họ trong toàn bộ quá trình, với các hợp đồng thông minh sẽ đảm nhiệm quá trình chuyển giao. Ngoài ra, việc thiếu cơ quan trung ương để khóa mã thông báo khiến các cây cầu khó bị tấn công hơn vì không có điểm lỗi duy nhất.
Gần đây: Các vấn đề về ngân hàng của Binance làm nổi bật sự chia rẽ giữa các công ty tiền điện tử và ngân hàng
Musighi nói với Cointelegraph: “Tôi thường coi những cây cầu không đáng tin cậy là an toàn hơn những cây cầu đáng tin cậy vì chúng hoạt động minh bạch và dựa vào mạng phi tập trung để xác thực và tạo điều kiện thuận lợi cho việc chuyển tài sản giữa các chuỗi, trong khi những cây cầu đáng tin cậy dựa vào bên thứ ba tập trung, có nghĩa là ở đó là một điểm thất bại duy nhất và là bề mặt tấn công tập trung để tin tặc nhắm tới.”
“Cầu không tin cậy dễ kiểm tra hơn và mang lại lợi ích rõ ràng là giảm thiểu niềm tin. Vì nhiều cây cầu tập trung cũng tận dụng các hợp đồng thông minh (đơn giản hơn), nên những cây cầu không tin cậy có thể được coi là một lựa chọn ít rủi ro hơn nhưng không phải là không có rủi ro,” Berrang nói.
Khi không gian tài chính phi tập trung trưởng thành, các nhà phát triển phải thực hiện các biện pháp bổ sung để đảm bảo các cầu nối chuỗi chéo. Tuy nhiên, khi người dùng tiền điện tử ngày càng quan tâm hơn đến việc tự quản lý và phân cấp, những cây cầu không cần sự tin cậy có thể ngày càng phổ biến.