Metaverse có vấn đề về bảo mật

Năm 2023, chúng ta đang đứng trước đỉnh cao của kỷ nguyên tiếp theo của Internet. Sự phát triển của công nghệ blockchain và hợp đồng thông minh (smart contract) đã thay đổi cách mọi người tương tác với thông tin cũng như tiền bạc. Tuy nhiên, lợi ích của công nghệ này cũng đi kèm với một số rủi ro đáng chú ý.

Các mạng lưới xử lý tiền của người dùng cần phải được bảo mật tuyệt đối – nếu không thì tại sao mọi người phải tin tưởng chúng? Việc kiểm tra bộ code của mạng lưới cơ bản là một bước khởi đầu quan trọng nhưng vẫn chưa đủ.

Phiên bản chính và mới nhất của công nghệ Web3 là metaverse, và sự chú ý của công chúng cũng như hàng loạt các tài trợ về tài chính khiến chúng có vẻ như cuối cùng sẽ đạt được sự chấp nhận rộng rãi, đặc biệt là đối với các game thủ. Tuy nhiên, các ứng dụng công nghệ blockchain vẫn phải đối mặt với các vấn đề bảo mật. Không gian metaverse tương đối mới nên cần giải quyết các rủi ro về bảo mật do tương tác giữa các hợp đồng thông minh phức tạp gây ra, trước khi có thể mở rộng quy mô bền vững.

Thuật ngữ “Metaverse” lần đầu tiên được biết đến vào năm 1992 bởi tác giả Neal Stephenson trong cuốn tiểu thuyết khoa học viễn tưởng “Snow Crash” của ông, trong đó Metaverse là thuật ngữ để mô tả một thế giới ảo – nơi con người tương tác với nhau và sử dụng hình ảnh số hóa của chính họ để khám phá thế giới trực tuyến.

Khi Metaverse phát triển, nó sẽ mở ra không gian trực tuyến tương tác của người dùng đa chiều hơn so với các công nghệ hiện tại. Theo thống kê của hãng nghiên cứu Gartner, doanh thu toàn cầu của các công nghệ nền tảng đối với Metaverse là AR/VR dự báo sẽ tăng từ 12 tỷ USD năm 2020 lên tới 72,8 tỷ USD năm 2024. Cũng theo Gartner dự báo, hơn 25% dân số sẽ dành ít nhất 1 giờ/ngày để thực hiện giao dịch hoặc giao lưu trong Metaverse vào năm 2026.

Hiện nay, nhiều doanh nghiệp, công ty công nghệ lớn trên thế giới đã và đang ứng dụng Metaverse vào nhiều lĩnh vực khác nhau như thương mại, giải trí, chăm sóc sức khỏe, giáo dục đào tạo,… Metaverse đặc biệt được chú ý hơn từ sự kiện đổi tên Facebook thành Meta vào cuối năm 2021, với tham vọng chuyển toàn bộ định hướng hoạt động của mình sang Metaverse trong vòng 10 năm tới. Một mục tiêu mà họ đặt ra cho chính mình: “Có 1 tỷ người dùng hoạt động trong Metaverse vào năm 2030”. Facebook cho biết sẽ đầu tư khoảng 10 tỷ đô la mỗi năm vào việc phát triển công nghệ để hướng tới mục tiêu này. Tầm nhìn của Giám đốc điều hành Meta, Mark Zuckerberg là tạo một thế giới thực tế ảo có thể thay đổi cách chúng ta kết nối hoặc làm việc với mọi người.

Con đường đến metaverse

Internet đã đi một chặng đường dài trong ba thập kỷ qua. Tất cả bắt đầu với cái mà ngày nay chúng ta gọi là Web1, những ngày đầu của văn bản, hình ảnh và các liên kết website cơ bản. Đến đầu những năm 2000, internet bắt đầu chuyển sang Web2, chủ yếu là giải trí trực tuyến và mạng xã hội. Bây giờ, chúng ta đang ở buổi bình minh của Web3.

Kỷ nguyên mới này của internet được xây dựng dựa trên công nghệ phi tập trung, cho phép di chuyển tự do dữ liệu và giá trị trên nhiều mạng lưới được kết nối với nhau.

Một trong những hứa hẹn của nền kinh tế blockchain mở và phi tập trung là trao quyền cho cá nhân, cho phép mỗi người kiểm soát tài chính và thông tin hồ sơ của chính họ.

Tổng số các dịch vụ Web3 này, cũng như các thế giới ảo đang bắt đầu được xây dựng trên chúng, được gọi chung là metaverse. Hiện tại, chúng ta mới chỉ ở đỉnh cao của phong trào này, nhưng nó có tiềm năng trở thành một tiêu chuẩn mà mọi người sẽ tham gia, nhất là về lĩnh vực mua sắm, giải trí và giao lưu trực tuyến. Tuy có tầm phát triển lớn nhưng trong thực tế, vẫn còn nhiều vấn đề chưa được giải quyết liên quan đến tính bảo mật của thế giới mới này.

Cơ hội đi kèm với trách nhiệm

Với mức độ kiểm soát và tính linh hoạt chưa từng có này, chúng ta sẽ được dẫn đến những rủi ro mới. Mặc dù người dùng nên có quyền kiểm soát đối với dữ liệu và tài sản của chính họ, nhưng vẫn có những nơi có thể phát sinh vấn đề, và nơi đó được gọi là hợp đồng thông minh.

Lời hứa hẹn của hợp đồng thông minh là sự phân quyền thực sự, cho phép người dùng dựa vào logic thay vì cần đặt niềm tin vào bên thứ ba nào đó. Do các hợp đồng thông minh được đầu tư nhiều, logic của chúng cần phải hoàn hảo để tránh các trục trặc dẫn đến hacker tấn công, khiến tiền của người dùng gặp rủi ro. Đây không phải là điều chưa từng xảy ra, đặc biệt là đối với các hợp đồng có số dư lớn. Gần đây, một vụ hack lớn đã xảy ra trên BNB Token Hub, cầu nối giữa BNB Beacon Chain và Binance Smart Chain.

Over $2.53b has been lost in DeFi bridge hacks alone, with the biggest one being the Binance Bridge hack at $570m pic.twitter.com/cHlYjyHT4a

— DefiLlama.com (@DefiLlama) January 6, 2023

Khoảng một nửa số vụ hack DeFi là từ các cầu nối cross-chain, vì những vụ này có xu hướng phức tạp và có yêu cầu bổ sung là duy trì nguồn dự trữ tiền liên tục, khiến chúng trở thành mục tiêu bị tấn công chính.

Ngoài ra, bất kỳ sự giám sát nào trong hợp đồng thông minh đều khiến tài sản trên cả hai mạng lưới được kết nối gặp rủi ro. Bản thân các blockchain gần như không thể bị tấn công thành công, nhưng các dịch vụ được xây dựng trên chúng, chẳng hạn như nền tảng DeFi và hợp đồng thông minh metaverse, chỉ an toàn nếu như bộ code của chúng an toàn.

Khi code chưa trải qua quá trình kiểm tra bảo mật kỹ lưỡng, khả năng xảy ra lỗi có thể khai thác thực sự là khá cao. Thực tế là, nếu không gian này mở rộng để trở thành một phần lớn hơn trong cuộc sống hàng ngày, thì các nhà phát triển và quản trị viên cần tăng cường bảo mật của họ.

Những lợi ích và tiềm năng của Metaverse là điều mà mọi người luôn nhắc tới và nhận thấy rõ, tuy nhiên, trong bối cảnh các hình thức tấn công mạng đang trở nên nguy hiểm và tinh vi hơn, chúng ta cũng không nên đánh giá thấp những rủi ro và mối đe dọa bảo mật liên quan đến công nghệ mới này. Trong Metaverse, chuyển động của mọi người thực hiện đều là một điểm dữ liệu và nếu có thể truy cập vào nó vượt qua được sự bảo mật lỏng lẻo của hệ thống, thì đây chính là cơ hội lớn để tấn công đối với các hackers.

Cách thực sự bảo mật cho Web3

Cách phòng thủ đầu tiên để đảm bảo các dịch vụ phi tập trung hoạt động mượt mà luôn là kiểm tra và bảo mật kỹ lưỡng đối với các hợp đồng thông minh trước khi triển khai. Hơn nữa, trước khi áp dụng các bản cập nhật code, các cuộc kiểm tra bổ sung cũng nên được thực hiện sớm và chặt chẽ.

Bằng cách thuê các bên thứ ba xem xét và xem xét lại tất cả bộ code, khả năng xảy ra lỗi hoặc xuất hiện lỗ hổng khai thác sẽ giảm xuống đáng kể . Điều này có thể giúp ích rất nhiều trong việc bảo vệ người dùng và giúp họ yên tâm khi sử dụng các nền tảng phi tập trung để xử lý tiền thật và thông tin có độ nhạy cảm cao.

Tuy nhiên, những sự cố không lường trước được giữa nhiều hợp đồng vẫn thường xảy ra dù đã bảo mật trước đó. Cách chắc chắn duy nhất để bảo vệ người dùng khỏi những loại rủi ro này là giám sát mạng lưới theo thời gian thực kết hợp với đánh giá rủi ro tự động và gắn cờ các mối đe dọa, điểm bất thường và hành vi bất thường khác.

Việc giám sát bản chất này cho phép các nhà phát triển ứng phó với các sự cố bảo mật ngay khi chúng xuất hiện dưới dạng các mối đe dọa tiềm tàng. Khi các nhóm nhà phát triển thực hiện các biện pháp chủ động như vậy, họ báo hiệu cho người dùng và thị trường rằng họ thực sự quan tâm đến điều này.

Vụ tấn công của Poly Network chỉ là một ví dụ trong đó việc giám sát theo thời gian thực có thể đã ngăn chặn đáng kể thiệt hại. Trong trường hợp này là khoản lỗ lên đến 600 triệu USD. Việc hacker tấn công xảy ra trong quá trình một số block được khai thác và do đó, với tính năng giám sát nâng cao được áp dụng, chức năng có thể đã bị tạm dừng sau block đầu tiên, ngăn chặn bất kỳ tổn thất thêm tiền nào.

Hỗ trợ kiểm toán liên tục cho các thành phần trên hệ thống metaverse khác nhau là bắt buộc. Điều đó bao gồm giám sát token metaverse gốc, triển khai giao dịch meta và các phụ thuộc bắt buộc bổ sung. Bởi vì các mảnh tạo nên một thuật toán metaverse rất phức tạp và rộng lớn, nên có rất nhiều điều cần chú ý.

Phát hiện gian lận theo thời gian thực

Thông thường, hoạt động giao dịch kỳ lạ có thể là dấu hiệu đầu tiên cho thấy điều gì đó xấu đang diễn ra. Ví dụ: nếu đột nhiên nhiều giao dịch lớn bắt đầu chuyển tiền ra khỏi nền tảng, cao hơn nhiều so với lưu lượng truy cập trung bình được thấy, thì ít nhất nó cần được xem xét kỹ hơn và nhanh chóng.

Hành động như vậy có thể ngăn chặn các cuộc tấn công trước khi chúng bắt đầu lớn hơn, khi các dấu hiệu cảnh báo xuất hiện rõ ràng hơn. Giám sát tự động có thể gửi cảnh báo đến một nhóm chuyên gia bảo mật, những người này có thể ngay lập tức xem xét kỹ hơn hoạt động và có sự phản hồi thích hợp.

Nếu không có sự quan sát tích cực, những loại sự kiện này thường chỉ được chú ý vài ngày hoặc vài tuần sau đó, sau khi thiệt hại đã xuất hiện và những kẻ tấn công đã có thời gian để che đậy dấu vết của chúng.

Có quá ít điều tốt đẹp xảy ra trong các ứng dụng Web3 hiện tại, nhưng điều này cần phải thay đổi. Người dùng không thể tham gia vào metaverse nếu không có các giao thức bảo mật được kiểm tra kỹ lưỡng. Thực tế đã được chứng minh là, việc kiểm tra bảo mật rất cần thiết trong việc triển khai các dịch vụ Web3 hiện có. Nhưng khi xem xét mức độ phức tạp gia tăng của các dự án siêu dữ liệu, các biện pháp đó không thể tính đến tất cả các biến có thể xảy ra, đặc biệt là khi bộ code đã được triển khai và đang chạy bình thường.

Đồng nghĩa, giám sát tự động 24/7 các giao dịch blockchain và hoạt động của hợp đồng thông minh có thể là một cách mạnh mẽ để đối phó với các mối đe dọa khi chúng còn chưa xuất hiện. Đây là mô hình sẽ làm cho Web3 trở nên thiết thực và đủ an toàn để áp dụng toàn cầu, vì người dùng sẽ quay lưng lại với bất kỳ thứ gì gây ảnh hưởng xấu đến họ.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

• Báo cáo: Trung Quốc sẽ trở thành “trùm” Metaverse trong năm 2023
• Doanh số bán đất ảo của Bored Ape phần lớn là wash trading?

Xoài

Theo Metanews