Báo cáo của Monero về việc giải quyết lỗ hổng cho phép đúc XMR “giả” một tháng sau khi khắc phục

Tiền điện tử cho đến nay vẫn không ngừng phát triển đến những giới hạn mới, tuy nhiên một số người đã phải chứng kiến những thứ không mấy tốt đẹp ở “chân trời” mà tiền điện tử mang lại. Một tiết lộ đáng sợ về lỗi bảo mật thông qua nền tảng bảo mật internet HackerOne đã ảnh hưởng đến Monero (XMR) trong những tháng gần đây – từ mức độ “không đáng kể” và “đã được giải quyết” cho đến mức độ “độc hại” và “nguy hiểm” – đây là một lời cảnh tỉnh lớn cho những người đam mê blockchain. Năm trong số các lỗ hổng này đã cấu thành rủi ro DDoS nghiêm trọng (một trong số đó được dán nhãn là “tàn khốc”), nhưng 8 lỗi hiện đã được sửa, bao gồm cả lỗi nghiêm trọng nhất được phát hiện.

Vấn đề làm giả XMR 

Vào ngày 3 tháng 6, một nhà phát triển blockchain trên HackerOne đã tuyên bố phát hiện ra một vụ khai thác nghiêm trọng trong Monero, trong đó cho phép các hacker có khả năng “tạo ra” XMR giả và gửi chúng đến các sàn giao dịch. Báo cáo nêu rằng:

“Bằng cách khai thác một khối được chế tạo đặc biệt mà vẫn vượt qua xác minh daemon, kẻ tấn công có thể tạo ra một giao dịch khai thác xuất hiện trong ví để bao gồm tổng số XMR được chọn bởi kẻ tấn công. Chúng tôi tin tưởng rằng điều này có thể được khai thác để đánh cắp tiền từ các sàn giao dịch.”

Mặc dù lỗi cho phép đúc XMR giả là một trong danh sách các vấn đề của Monero – và người chịu thiệt hại nhiều nhất là sàn giao dịch thay vì các trader hay nhà đầu tư – điều đó chứng tỏ rằng ngay cả những đồng tiền riêng tư và bảo mật nhất cũng có thể bị xâm phạm. Điều này không gì khác hơn là một mối đe dọa rõ ràng đối với toàn bộ hệ sinh thái. Tiền điện tử hoàn toàn vô giá trị nếu nó không thực hiện được lời hứa cơ bản nhất về bảo mật và minh bạch. Với chức năng giới hạn đối với tiền điện tử so với tiền fiat, nếu các loại coin thừa nhận lợi thế cơ bản của chúng, vậy còn có nghĩa gì nữa? CEO của sàn giao dịch Codex, Serge Vasylchuk, nói với Cointelegraph rằng:

“Hầu hết các lỗ hổng đã được tiết lộ vài tháng trước, nhưng giờ mới được sửa. Trong khi các nhà phát triển Monero đang làm việc rất tốt, họ vẫn không thể đảm bảo rằng sẽ không có đồng tiền mới nào được đúc bằng cách gian lận sàn giao dịch. Nếu một cuộc tấn công như vậy xảy ra, có thể phải mất một thời gian dài cho đến khi sàn giao dịch nhận thấy nó, trừ khi các cơ chế bảo mật của họ đủ tiên tiến để quét bộ nhớ ví lạnh của nó, và so sánh với tiền gửi tài khoản một cách nhanh chóng.”

Đặc biệt đối với Monero – một đồng tiền tự xưng là có tính bảo mật và quyền riêng tư cao – những thất bại lần này có vẻ không thể tha thứ được. Họ đặt ra những nghi ngờ đáng kể về ý tưởng rằng tiền điện tử nói chung là không thể có lỗi, và đặt trách nhiệm lớn hơn trên các sàn giao dịch để hoàn thành việc kiểm toán thường xuyên và được lựa chọn nhiều hơn trong các token mà họ liệt kê. Khái niệm này đã được xem xét một cách thận trọng trước đây, nhưng với những vấn đề mới nhất ở Monero, chúng ta có thể thấy một nỗ lực toàn ngành để sửa sai. Số lượng lớn các vấn đề được Monero tiết lộ đồng thời, ngay cả khi hầu hết đã được khắc phục, cho thấy những nỗ lực tuyệt vọng mà các dự án thực hiện để thu hẹp khoảng cách ngay sau khi chúng xuất hiện.

Lỗi hổng của Monero đã làm giảm niềm tin vào tiền điện tử

Một vấn đề khác được tiết lộ bởi Monero đó là tiền điện tử rất dễ bị ảnh hưởng bởi hiệu ứng domino, do các giải pháp mới nhất thường xếp chồng phần mềm blockchain phiên bản đầu tiên. Vấn đề quan trọng khác được báo cáo trên HackerOne đó là một vấn đề ảnh hưởng đến tất cả các token qua việc sử dụng lớp ứng dụng CryptoLive chứ không chỉ Monero. Một lỗi CryptoLive – trong đó dẫn đến việc dễ gặp phải rủi ro DdoS – sẽ ảnh hưởng đến tất cả các dự án, sàn giao dịch tiền điện tử mà các đồng tiền này xuất hiện và các nhà đầu tư cũng vậy. Điều này đã chứng minh cho luận điểm rằng tiền điện tử không hề an toàn, và hệ sinh thái khép kín của nó có thể đã đến lúc bị phơi nhiễm.

Tuy nhiên, trong cái rủi vẫn có cái may khi nói đến những sự kiện gần đây: Báo cáo về những lỗi này không hề xuất hiện ở những nơi khác ngoài Monero – và việc chính Monero đưa ra báo cáo này đến với cộng đồng có ý nghĩa rất lớn – và một góc độ tiến bộ có thể giải quyết được hiệu ứng domino tiềm năng. Bằng cách công khai (thay vì cố gắng che đậy) các vấn đề trong phần mềm của họ, Monero đã cảnh báo cho những người khác trong không gian về những yếu tố tiềm ẩn và cho thấy rằng họ đã cam kết với người dùng. Nó cũng gây tiếng vang vào năm ngoái khi một lỗi ví Monero được công ty tiết lộ và ngay lập tức được giải quyết cùng với cảnh báo tuyên bố công khai về rủi ro và sự đổi mới của tiền điện tử.

Về điều này, Charles Guillemet, giám đốc an ninh của ví cứng Ledger, nói với Cointelegraph trong một cuộc trò chuyện rằng tính minh bạch làm tăng sự tin tưởng mà một người có thể có trong các blockchain này. Mặt khác, một tiết lộ khiến người dùng gặp rủi ro cũng sẽ bị coi là vô trách nhiệm.

Không có công ty nào chỉ quan tâm đến vốn cả, hoặc việc trở thành “người tiên phong” hơn là một nhà lãnh đạo blockchain, sẽ công bố rằng các vấn đề của họ lại là một lời nhắc nhở rằng tiền điện tử và phần mềm tương ứng vẫn còn trong giai đoạn sơ khai và dễ gặp phải lỗi (nghiêm trọng),” giống như Monero đã làm trong một bài đăng trên blog gần đây.

Một mối quan tâm khác phát sinh từ toàn bộ tình huống XMR này là vấn đề bồi thường. Tiền thưởng khắc phục lỗi là một phương pháp đủ để nâng cao các vấn đề bảo mật trong không gian blockchain, hay việc xử lý các vấn đề của Monero cho thấy sự cần thiết phải có giải pháp tốt hơn hay kịp thời hơn? Guillemet cũng đã bình luận với Cointelegraph về điều này:

“Các chương trình tiền thưởng là một cách tuyệt vời để khuyến khích các nhà nghiên cứu bảo mật hành xử có trách nhiệm. Nó sẽ là vấn đề khi các công ty/tổ chức sử dụng tiền thưởng để thuê ngoài cho công việc bảo mật của họ. Tiền thưởng sẽ không thay thế Red Team, phát triển bảo mật và kiểm toán bên thứ ba bởi các phòng thí nghiệm được công nhận. Một lỗi phổ biến trong suy nghĩ của chúng ta rằng nguồn mở và chương trình tiền thưởng sẽ đảm bảo an ninh. Rõ ràng là sai và chúng ta đã thấy nhiều ví dụ về điều này.”

Monero không phải là nạn nhân mới nhất

Các vụ hack lớn khác xảy ra trong ngành công nghiệp tiền điện tử giúp cho các rắc rối của Monero trông có vẻ nhỏ hơn, người ta nhanh chóng nhận ra rằng công nghệ này có thể chưa sẵn sàng để đi vào dòng chính như hiện tại. Nếu một ứng dụng hoặc nền tảng phi tập trung trên quy mô của nhiều ứng dụng phổ biến hiện nay – Facebook Messenger, WeChat, Airbnb – đã bị hack theo cách của Monero, thì đó sẽ là một cuộc khủng hoảng quốc tế trong cùng một giải đấu như Cambridge Analytica hoặc xa hơn. Thành thật mà nói, kích thước của một số vụ hack tiền điện tử sẽ khiến chúng ta biết ơn rằng các token kỹ thuật số đã tạo ra một phần lớn hơn về cách thế giới hoạt động tại thời điểm này.

Đầu năm nay, các lỗ hổng (tính theo hàng tháng) trong các nền tảng và dự án blockchain lớn đã tăng lên 43, với các vấn đề được tìm thấy trong Coinbase, Brave, Tendermint, Ledger và các dự án khác. Hiện tại, nhóm hacker mũ trắng và các nhà phát triển nội bộ chiếm phần lớn vốn chủ sở hữu được đầu tư vào việc sửa lỗi, với hàng chục ngàn được đưa ra mỗi tháng bởi các dự án đưa tiền thưởng vào những trục trặc lớn nhất của họ.

Chắc chắn là các nhà điều hành đang phải vật lộn với kim tự tháp đồ sộ và bấp bênh của các dự án mà họ được giao để tổ chức, nhưng nó phải xảy ra (ngay cả với một bộ quy định hạn chế áp dụng cho tất cả) trước một dự án có code giống như “pho mát Thụy Sĩ” được phép xử lý dữ liệu công khai và quỹ lớn. Charles Guillemet tin rằng Monero không phải là ví dụ đầu tiên và sẽ không phải là ví dụ cuối cùng. Thật không may, ông tiếp tục bằng cách làm rõ các bước mà các nền tảng cần phải thực hiện để bảo vệ bản thân khỏi những tình huống như vậy: Red Team, bên thứ ba có nhiệm vụ kiểm toán, đánh giá ngang hàng các bài báo khoa học. Các giao thức mật mã mới cần có thời gian để được xem xét và đánh giá.

Ví dụ như Binance Chain – và nền tảng IEO được hỗ trợ của nó, Binance Launchpad – dựa trên Tendermint, nhưng điều gì sẽ xảy ra với các dự án non trẻ đang được nuôi dưỡng bởi Binance nếu việc khai thác diễn ra quá lâu? Hậu quả rất khó lường. Mặc dù Monero đã chứng minh việc gia nhập dòng chính có thể mất nhiều thời gian hơn tưởng tượng, nhưng nó cũng cho chúng ta thấy con đường an toàn nhất để đi lên, và đó là một trong những dự án blockchain hỗ trợ lẫn nhau thay vì chạy đến đích

• Monero tiết lộ lỗ hổng đánh cắp XMR từ các sàn giao dịch
• Monero (XMR) nhảy vọt 25.3% khi các nhà phát triển đàn áp miner ASIC

Diệu Anh

Tạp chí Bitcoin | Cointelegraph