Công nghệ blockchain đã trở nên vô cùng phổ biến trong những năm gần đây. Ngoài ứng dụng ban đầu của nó trong tiền điện tử, nó hiện đang được sử dụng trong chăm sóc sức khỏe, bất động sản, danh bạ thông minh và các lĩnh vực khác. Tuy nhiên, vấn đề bảo mật blockchain là điều quan trọng mà rất nhiều người trong ngành đang thật sự quan tâm.
Công nghệ chuỗi khối thu thập và lưu trữ dữ liệu trong các nhóm được gọi là “khối” và mỗi khối có thể chứa một lượng dữ liệu nhất định. Khi một khối đã trữ đầy thông tin, nó sẽ được liên kết với khối đầy đủ trước đó, tạo thành một chuỗi dữ liệu, do đó có tên là “blockchain”. Công nghệ này là một ví dụ tuyệt vời về cách các nguyên lý bảo mật trong các giao dịch tài chính và truyền tải thông tin được chuyển đổi. Nó cung cấp cấu trúc dữ liệu độc nhất vô nhị cũng như các tính năng bảo mật tích hợp. Blockchain dựa trên các ý tưởng về sự đồng thuận, phân quyền và mật mã để đảm bảo sự tin cậy của giao dịch.
Tuy nhiên, nhiều vấn đề bảo mật blockchain đã phát sinh do việc triển khai công nghệ bị lỗi.
Tính bảo mật của blockchain theo các loại blockchain
Để giải thích thêm về bảo mật blockchain, trước tiên cần phải nắm được sự khác biệt giữa bảo mật blockchain công khai và riêng tư. Về khả năng tham gia và truy cập dữ liệu, mạng blockchain có thể có nhiều tác dụng khác nhau. Kết quả là, có hai mạng blockchain khác nhau.
Blockchain có thể là riêng tư hoặc công khai, tùy thuộc vào các đặc quyền cần thiết để trở thành thành viên. Mặt khác, các phương tiện để người tham gia có được quyền truy cập vào mạng được điều chỉnh bởi việc mạng blockchain được cấp phép hay không được phép.
• Mạng blockchain công khai mở và có thể cho phép bất kỳ người dùng nào tham gia trong khi vẫn duy trì tính ẩn danh của người tham gia.
• Trong các mạng blockchain riêng tư, danh tính được sử dụng để xác nhận tư cách thành viên và các đặc quyền truy cập. Hơn nữa, họ chỉ cho phép các tổ chức quen thuộc tham gia.
5 vấn đề bảo mật của blockchain và cách để phòng ngừa
Nhiều người đã đúng khi họ tin rằng blockchain vốn đã an toàn. Thật vậy, blockchain mang lại lợi ích cho các tổ chức, nhưng nó có những hạn chế đáng kể do các vấn đề bảo mật cụ thể. Dưới đây là năm trong số những thách thức bảo mật blockchain hàng đầu và các giải pháp của chúng.
1. Cuộc tấn công 51%
Người đào tiền (miner) đóng một vai trò quan trọng trong việc xác thực các giao dịch trên blockchain, cho phép chúng phát triển hơn nữa. Một cuộc tấn công 51% có thể là mối đe dọa đáng sợ nhất trong toàn bộ hoạt động của blockchain. Các cuộc tấn công này có nhiều khả năng xảy ra trong giai đoạn đầu của chuỗi và cuộc tấn công 51% không thể xảy ra đối với các blockchain doanh nghiệp hoặc tư nhân.
Cuộc tấn công 51% xảy ra khi một cá nhân hoặc tổ chức (tin tặc độc hại) thao túng hơn một nửa tỷ lệ băm* và chiếm quyền kiểm soát toàn bộ hệ thống, điều này khiến cho chủ mưu và các cộng sự gian dối giao dịch và trục lợi bất chính. Tin tặc có thể sửa đổi thứ tự của các giao dịch và ngăn chúng được xác nhận. Họ thậm chí có thể đảo ngược các giao dịch đã hoàn thành trước đó, dẫn đến việc người dùng phải trả phí giao dịch gấp đôi.
*Thuật ngữ tỷ lệ băm (hashrate) là đơn vị đo lường khả năng giải thuật toán của các thiết bị đào tiền kỹ thuật số. Một Hash đầu ra tương đương với một hàm băm.
Để ngăn chặn các cuộc tấn công 51%:
• Cải thiện giám sát nhóm khai thác (miner).
• Đảm bảo rằng tỷ lệ băm (hash rate) cao hơn.
• Tránh sử dụng các thủ tục đồng thuận thủ công (Proof-of-work)
2. Tấn công giả mạo (Phishing Attack)
Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng. Các cuộc tấn công lừa đảo trên mạng blockchain ngày càng gia tăng, gây ra nhiều vấn đề nghiêm trọng. Các cá nhân hoặc nhân viên công ty thường là mục tiêu của các nỗ lực lừa đảo.
Mục tiêu của tin tặc trong một cuộc tấn công lừa đảo là đánh cắp thông tin đăng nhập của người dùng. Họ có thể gửi các email trông hợp pháp đến chủ sở hữu của ví điện tử. Người dùng được yêu cầu nhập chi tiết đăng nhập thông qua một siêu liên kết giả đính kèm. Việc có quyền truy cập vào thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác có thể dẫn đến thiệt hại cho cả người dùng và mạng blockchain.
Để ngăn chặn các cuộc tấn công giả mạo:
• Cải thiện bảo mật trình duyệt bằng cách cài đặt tiện ích bổ sung đã xác minh để thông báo cho bạn về các trang web không an toàn.
• Cải thiện bảo mật thiết bị bằng cách cài đặt phần mềm phát hiện liên kết độc hại cũng như phần mềm chống vi-rút đáng tin cậy.
• Xác nhận lại với đối tác nếu bạn nhận được email yêu cầu chi tiết đăng nhập liên quan đến vấn đề.
• Đừng nhấp vào liên kết cho đến khi bạn đã xem xét kỹ lưỡng. Thay vì nhấp vào các liên kết, hãy nhập địa chỉ vào trình duyệt của bạn.
• Tránh mở mạng Wi-Fi công cộng khi sử dụng ví điện tử hoặc các giao dịch ngân hàng quan trọng khác.
• Đảm bảo hệ thống và phần mềm của máy tính được cập nhật.
3. Tấn công định tuyến (Routing Attack)
Mối quan tâm lớn tiếp theo đối với bảo mật và quyền riêng tư của công nghệ blockchain là các cuộc tấn công định tuyến. Router – Routing là thiết bị định tuyến, làm nhiệm vụ định tuyến đường đi của các gói tin. Một mạng lưới và ứng dụng blockchain phải dựa trên sự chuyển động trong thời gian thực của một lượng lớn dữ liệu. Tin tặc có thể sử dụng tính ẩn danh của tài khoản để chặn dữ liệu khi dữ liệu đang được truyền đến các nhà cung cấp dịch vụ internet.
Trong trường hợp tấn công định tuyến, những người tham gia chuỗi khối thường không nhận thức được mối đe dọa vì quá trình truyền và hoạt động dữ liệu vẫn diễn ra như bình thường. Rủi ro là những cuộc tấn công này sẽ thường xuyên làm lộ dữ liệu bí mật hoặc trích xuất tiền tệ mà người dùng không hề hay biết.
Để ngăn chặn các cuộc tấn công định tuyến:
• Triển khai các giao thức định tuyến an toàn (có chứng chỉ an toàn được cấp bởi nhà cung cấp trình duyệt).
• Sử dụng mã hóa dữ liệu.
• Thay đổi mật khẩu thường xuyên; sử dụng mật khẩu mạnh.
• Giáo dục bản thân và nhân viên của bạn về các mối nguy liên quan đến bảo mật thông tin.
4. Điểm cuối của blockchain (Blockchain Endpoint Vulnerability)
Tính dễ bị tổn thương của các điểm cuối blockchain là một mối quan tâm bảo mật quan trọng khác trong bảo mật blockchain. Điểm cuối của mạng blockchain là nơi người dùng tương tác với blockchain: trên các thiết bị điện tử như máy tính và điện thoại di động. Tin tặc có thể quan sát hành vi của người dùng và nhắm mục tiêu thiết bị để lấy cắp khóa của người dùng. Đây là một trong những vấn đề bảo mật blockchain dễ thấy nhất.
Để ngăn chặn các lỗ hổng điểm cuối blockchain:
• Không lưu các mã khóa blockchain trên máy tính hoặc điện thoại di động của bạn dưới dạng tệp văn bản.
• Tải xuống và cài đặt phần mềm chống vi-rút cho các thiết bị điện tử.
• Xem xét hệ thống thường xuyên, theo dõi thời gian, vị trí và truy cập của thiết bị.
Cold Wallet là phương thức bảo mật tốt cho tiền điện tử.
5. Tấn công mạo nhận (Sybil Attacks)
Trong một cuộc tấn công Sybil, tin tặc tạo ra nhiều nút mạng giả. Sử dụng các nút đó, tin tặc có thể nhận được sự đồng thuận của đa số và làm gián đoạn các giao dịch của chuỗi. Kết quả là, một cuộc tấn công Sybil quy mô lớn không gì khác hơn là một cuộc tấn công 51%.
Để ngăn chặn các cuộc tấn công của Sybil:
• Sử dụng các thuật toán đồng thuận thích hợp.
• Giám sát hành vi của các nút khác và kiểm tra các nút chỉ là khối chuyển tiếp từ một người dùng.
Mặc dù các phương thức này có thể không ngăn chặn hoàn toàn các cuộc tấn công này, nhưng chúng khiến hacker không thể thực hiện được.
Kết luận:
Mặc dù blockchain có một số lỗ hổng bảo mật, nhưng các chuyên gia an ninh mạng có thể làm rất nhiều để giảm thiểu những vấn đề này. Các chuyên gia công nghệ thông tin với khả năng phân tích và kỹ thuật có kinh nghiệm sẽ đủ khả năng để triển khai blockchain một cách an toàn nhất. Người tham gia crypto, blockchain và NFTs chỉ cần ưu tiên lưu ý về vấn đề bảo mật của bản thân là đã rất thiết thực.
Công nghệ blockchain đã trở nên vô cùng phổ biến trong những năm gần đây. Ngoài ứng dụng ban đầu của nó trong tiền điện tử, nó hiện đang được sử dụng trong chăm sóc sức khỏe, bất động sản, danh bạ thông minh và các lĩnh vực khác. Tuy nhiên, vấn đề bảo mật blockchain là điều quan trọng mà rất nhiều người trong ngành đang thật sự quan tâm.
Công nghệ chuỗi khối thu thập và lưu trữ dữ liệu trong các nhóm được gọi là “khối” và mỗi khối có thể chứa một lượng dữ liệu nhất định. Khi một khối đã trữ đầy thông tin, nó sẽ được liên kết với khối đầy đủ trước đó, tạo thành một chuỗi dữ liệu, do đó có tên là “blockchain”. Công nghệ này là một ví dụ tuyệt vời về cách các nguyên lý bảo mật trong các giao dịch tài chính và truyền tải thông tin được chuyển đổi. Nó cung cấp cấu trúc dữ liệu độc nhất vô nhị cũng như các tính năng bảo mật tích hợp. Blockchain dựa trên các ý tưởng về sự đồng thuận, phân quyền và mật mã để đảm bảo sự tin cậy của giao dịch.
Tuy nhiên, nhiều vấn đề bảo mật blockchain đã phát sinh do việc triển khai công nghệ bị lỗi.
Tính bảo mật của blockchain theo các loại blockchain
Để giải thích thêm về bảo mật blockchain, trước tiên cần phải nắm được sự khác biệt giữa bảo mật blockchain công khai và riêng tư. Về khả năng tham gia và truy cập dữ liệu, mạng blockchain có thể có nhiều tác dụng khác nhau. Kết quả là, có hai mạng blockchain khác nhau.
Blockchain có thể là riêng tư hoặc công khai, tùy thuộc vào các đặc quyền cần thiết để trở thành thành viên. Mặt khác, các phương tiện để người tham gia có được quyền truy cập vào mạng được điều chỉnh bởi việc mạng blockchain được cấp phép hay không được phép.
• Mạng blockchain công khai mở và có thể cho phép bất kỳ người dùng nào tham gia trong khi vẫn duy trì tính ẩn danh của người tham gia.
• Trong các mạng blockchain riêng tư, danh tính được sử dụng để xác nhận tư cách thành viên và các đặc quyền truy cập. Hơn nữa, họ chỉ cho phép các tổ chức quen thuộc tham gia.
5 vấn đề bảo mật của blockchain và cách để phòng ngừa
Nhiều người đã đúng khi họ tin rằng blockchain vốn đã an toàn. Thật vậy, blockchain mang lại lợi ích cho các tổ chức, nhưng nó có những hạn chế đáng kể do các vấn đề bảo mật cụ thể. Dưới đây là năm trong số những thách thức bảo mật blockchain hàng đầu và các giải pháp của chúng.
1. Cuộc tấn công 51%
Người đào tiền (miner) đóng một vai trò quan trọng trong việc xác thực các giao dịch trên blockchain, cho phép chúng phát triển hơn nữa. Một cuộc tấn công 51% có thể là mối đe dọa đáng sợ nhất trong toàn bộ hoạt động của blockchain. Các cuộc tấn công này có nhiều khả năng xảy ra trong giai đoạn đầu của chuỗi và cuộc tấn công 51% không thể xảy ra đối với các blockchain doanh nghiệp hoặc tư nhân.
Cuộc tấn công 51% xảy ra khi một cá nhân hoặc tổ chức (tin tặc độc hại) thao túng hơn một nửa tỷ lệ băm* và chiếm quyền kiểm soát toàn bộ hệ thống, điều này khiến cho chủ mưu và các cộng sự gian dối giao dịch và trục lợi bất chính. Tin tặc có thể sửa đổi thứ tự của các giao dịch và ngăn chúng được xác nhận. Họ thậm chí có thể đảo ngược các giao dịch đã hoàn thành trước đó, dẫn đến việc người dùng phải trả phí giao dịch gấp đôi.
*Thuật ngữ tỷ lệ băm (hashrate) là đơn vị đo lường khả năng giải thuật toán của các thiết bị đào tiền kỹ thuật số. Một Hash đầu ra tương đương với một hàm băm.
Để ngăn chặn các cuộc tấn công 51%:
• Cải thiện giám sát nhóm khai thác (miner).
• Đảm bảo rằng tỷ lệ băm (hash rate) cao hơn.
• Tránh sử dụng các thủ tục đồng thuận thủ công (Proof-of-work)
2. Tấn công giả mạo (Phishing Attack)
Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng. Các cuộc tấn công lừa đảo trên mạng blockchain ngày càng gia tăng, gây ra nhiều vấn đề nghiêm trọng. Các cá nhân hoặc nhân viên công ty thường là mục tiêu của các nỗ lực lừa đảo.
Mục tiêu của tin tặc trong một cuộc tấn công lừa đảo là đánh cắp thông tin đăng nhập của người dùng. Họ có thể gửi các email trông hợp pháp đến chủ sở hữu của ví điện tử. Người dùng được yêu cầu nhập chi tiết đăng nhập thông qua một siêu liên kết giả đính kèm. Việc có quyền truy cập vào thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác có thể dẫn đến thiệt hại cho cả người dùng và mạng blockchain.
Để ngăn chặn các cuộc tấn công giả mạo:
• Cải thiện bảo mật trình duyệt bằng cách cài đặt tiện ích bổ sung đã xác minh để thông báo cho bạn về các trang web không an toàn.
• Cải thiện bảo mật thiết bị bằng cách cài đặt phần mềm phát hiện liên kết độc hại cũng như phần mềm chống vi-rút đáng tin cậy.
• Xác nhận lại với đối tác nếu bạn nhận được email yêu cầu chi tiết đăng nhập liên quan đến vấn đề.
• Đừng nhấp vào liên kết cho đến khi bạn đã xem xét kỹ lưỡng. Thay vì nhấp vào các liên kết, hãy nhập địa chỉ vào trình duyệt của bạn.
• Tránh mở mạng Wi-Fi công cộng khi sử dụng ví điện tử hoặc các giao dịch ngân hàng quan trọng khác.
• Đảm bảo hệ thống và phần mềm của máy tính được cập nhật.
3. Tấn công định tuyến (Routing Attack)
Mối quan tâm lớn tiếp theo đối với bảo mật và quyền riêng tư của công nghệ blockchain là các cuộc tấn công định tuyến. Router – Routing là thiết bị định tuyến, làm nhiệm vụ định tuyến đường đi của các gói tin. Một mạng lưới và ứng dụng blockchain phải dựa trên sự chuyển động trong thời gian thực của một lượng lớn dữ liệu. Tin tặc có thể sử dụng tính ẩn danh của tài khoản để chặn dữ liệu khi dữ liệu đang được truyền đến các nhà cung cấp dịch vụ internet.
Trong trường hợp tấn công định tuyến, những người tham gia chuỗi khối thường không nhận thức được mối đe dọa vì quá trình truyền và hoạt động dữ liệu vẫn diễn ra như bình thường. Rủi ro là những cuộc tấn công này sẽ thường xuyên làm lộ dữ liệu bí mật hoặc trích xuất tiền tệ mà người dùng không hề hay biết.
Để ngăn chặn các cuộc tấn công định tuyến:
• Triển khai các giao thức định tuyến an toàn (có chứng chỉ an toàn được cấp bởi nhà cung cấp trình duyệt).
• Sử dụng mã hóa dữ liệu.
• Thay đổi mật khẩu thường xuyên; sử dụng mật khẩu mạnh.
• Giáo dục bản thân và nhân viên của bạn về các mối nguy liên quan đến bảo mật thông tin.
4. Điểm cuối của blockchain (Blockchain Endpoint Vulnerability)
Tính dễ bị tổn thương của các điểm cuối blockchain là một mối quan tâm bảo mật quan trọng khác trong bảo mật blockchain. Điểm cuối của mạng blockchain là nơi người dùng tương tác với blockchain: trên các thiết bị điện tử như máy tính và điện thoại di động. Tin tặc có thể quan sát hành vi của người dùng và nhắm mục tiêu thiết bị để lấy cắp khóa của người dùng. Đây là một trong những vấn đề bảo mật blockchain dễ thấy nhất.
Để ngăn chặn các lỗ hổng điểm cuối blockchain:
• Không lưu các mã khóa blockchain trên máy tính hoặc điện thoại di động của bạn dưới dạng tệp văn bản.
• Tải xuống và cài đặt phần mềm chống vi-rút cho các thiết bị điện tử.
• Xem xét hệ thống thường xuyên, theo dõi thời gian, vị trí và truy cập của thiết bị.
5. Tấn công mạo nhận (Sybil Attacks)
Trong một cuộc tấn công Sybil, tin tặc tạo ra nhiều nút mạng giả. Sử dụng các nút đó, tin tặc có thể nhận được sự đồng thuận của đa số và làm gián đoạn các giao dịch của chuỗi. Kết quả là, một cuộc tấn công Sybil quy mô lớn không gì khác hơn là một cuộc tấn công 51%.
Để ngăn chặn các cuộc tấn công của Sybil:
• Sử dụng các thuật toán đồng thuận thích hợp.
• Giám sát hành vi của các nút khác và kiểm tra các nút chỉ là khối chuyển tiếp từ một người dùng.
Mặc dù các phương thức này có thể không ngăn chặn hoàn toàn các cuộc tấn công này, nhưng chúng khiến hacker không thể thực hiện được.
Kết luận:
Mặc dù blockchain có một số lỗ hổng bảo mật, nhưng các chuyên gia an ninh mạng có thể làm rất nhiều để giảm thiểu những vấn đề này. Các chuyên gia công nghệ thông tin với khả năng phân tích và kỹ thuật có kinh nghiệm sẽ đủ khả năng để triển khai blockchain một cách an toàn nhất. Người tham gia crypto, blockchain và NFTs chỉ cần ưu tiên lưu ý về vấn đề bảo mật của bản thân là đã rất thiết thực.
Bài viết được chuyển ngữ từ nguồn này.
Share this:
Like this: