Cuộc tấn công 51% khét tiếng: lỗi chính nằm trong các giao thức tiền mã hóa nhưng điều này hiếm khi xảy ra, đặc biệt là trong số các loại tiền mã hóa phổ biến nhất.
Tuy nhiên, trong vài tháng qua, các cuộc tấn công 51% – do một thợ mỏ (hoặc nhóm thợ mỏ) chiếm quyền kiểm soát hơn một nửa sức mạnh tính toán của mạng và sau đó có thể bẻ cong các quy tắc của giao thức để trục lợi – đã xảy ra tới hai lần và trên cùng một blockchain.
Thật vậy, Verge, một đồng tiền mã hóa định hướng riêng tư gần đây được chú ý bởi việc thành lập quan hệ đối tác với trang web giải trí dành cho người lớn nổi tiếng, đã hứng chịu hai cuộc tấn công 51%.
Trong cuộc tấn công đầu tiên vào tháng 4 (chỉ một vài tuần trước khi thiết lập quan hệ đối tác với Pornhub), hacker đã lấy đi 250.000 XVG. Và trong lần gần đây nhất vào giữa tháng 5, kẻ tấn công đã khai thác số lượng tiền mã hóa trị giá 1,7 triệu đô la từ giao thức.
Theo các nhà nghiên cứu, đây là kết quả của những thay đổi đơn giản đối với bộ mã cơ bản mà các giao thức tiền mã hóa thường được xây dựng và rất khó để có thể dự đoán những hậu quả ngoài ý muốn phát sinh từ những thay đổi đó.
Chắc chắn, các nhà phát triển Verge chỉ cố gắng thiết kế một đồng tiền mã hóa tốt hơn cho các khoản thanh toán, nhưng bằng cách tinh chỉnh các tham số nhỏ, chẳng hạn như khoảng thời gian xác nhận một khối là hợp lệ, nhóm đã mở cửa blockchain của mình đối với các vụ tấn công.
Đó là blockchain được xây dựng dựa trên các động cơ được xếp chồng lên nhau một cách rất bấp bênh, theo đó tất cả các bên liên quan cùng nhau làm việc hướng tới một mục tiêu chung để loại bỏ cơ hội mà một thực thể có toàn quyền kiểm soát.
Daniel Goldman, CTO của trang web phân tích tiền mã hóa The Abacus, người đang theo dõi các cuộc tấn công nói:
“Mọi thứ không ổn chút nào. Các vấn đề trong cơ sở bộ mã là kết quả của sự bất cẩn – kết hợp bộ mã từ phần mềm mã nguồn mở khác mà không hiểu ý nghĩa của nó”.
Goldman nói thêm:
“Tôi ghét phải nói điều đó, nhưng sự thật là kẻ tấn công đang thực sự “cao tay” hơn các nhà phát triển. Tôi sẽ cố gắng truy tìm anh ta nếu tôi là họ”.
Bàn về tình hình chung trong sự phát triển của Verge, nhà phân tích và nghiên cứu đầu tư Fidelity Nic Carter cho rằng:
“Cần rút ra nhiều bài học quan trọng từ vụ này”.
Các đại diện từ đội ngũ phát triển của Verge đã không trả lời yêu cầu bình luận từ CoinDesk.
Vấn đề
Một trong những bài học đó là những lý do tại sao khoảng thời gian mà một giao dịch có thể được xác nhận hợp lệ bị giới hạn khá nghiêm ngặt.
Ví dụ, trong khi các giao dịch bitcoin chỉ mất khoảng 10 phút trước khi chúng được xác minh trong một khối thì các nhà phát triển Verge lại mở rộng khoảng thời gian đó đến tận 2 giờ. Và theo bài viết được lưu hành rộng rãi của Goldman, bởi vì có một số thông tin bất đối xứng trong các hệ thống blockchain vì các node được trải ra trên toàn cầu nên kẻ tấn công đã có thể đánh lừa các dấu thời gian gắn liền với khối.
Nhưng không chỉ vậy, một phần khác của cuộc tấn công là thuật toán độ khó của Verge. Thuật toán mà Verge sử dụng để tính toán độ khó hiện thời có tên là Dark Gravity Wave, nó là trung bình gia quyền tốc độ xác nhận khối trong khoảng thời gian 2 giờ. Do đó có thể nói, độ khó là hàm số tần suất khối, được tính toán dựa trên dấu thời gian của những block trước đó.
Do đó khi mà dấu thời gian tạo khối bị sai quá nhiều sẽ ảnh hưởng đến độ khó của mạng lưới. Đây là điều mà hacker sẽ tìm hiểu, nếu bạn kiểm tra dữ liệu blockchain của Verge quanh thời gian hack diễn ra, tất các các khối được đệ trình có dấu thời gian khoảng 1 tiếng so với hiện tại, điều này làm cho thuật toán của hệ thống bị rối loạn. Khi đó thuật toán sẽ cho rằng “không có nhiều khối được đệ trình gần đây (phần lớn đều là khối cách đây hơn 1 tiếng), độ khó quá lớn – hãy điều chỉnh nó dễ hơn”.
Sự thông minh của đợt tấn công này nằm ở chỗ, hacker tận dụng chính điểm yếu của thuật toán tính toán độ khó chứ không phải phá hỏng nó. An ninh hệ thống được đảm bảo bằng tổng công suất đào (mining power), tuy nhiên nó quá khó để phá bỏ, các hacker trong trường hợp này tìm mọi cách để giảm tổng công suất.
Khi cuộc tấn công đầu tiên xảy ra, các nhà phát triển Verge nhanh chóng phát hành một bản vá để ngăn chặn kẻ tấn công. Tuy nhiên, với cuộc tấn công vào tháng trước, có vẻ như bản vá không có tác dụng và kẻ tấn công đã tìm ra cách khác để hack.
Cuộc tấn công liên tục
Và theo Goldman, các vấn đề với Verge có thể vẫn chưa kết thúc.
“Một cuộc tấn công rõ ràng là sẽ có nguy cơ tiếp diễn. Tuy nhiên, cho đến nay, kẻ tấn công sẽ chưa thể vượt qua được mạng lưới”, Goldman nói với CoinDesk.
Nhưng ông tiếp tục:
“Hiện tại, hai trong số ba (theo ý kiến của tôi) các nguồn lỗ hổng cơ bản đã được giảm thiểu tối đa và cái còn lại thì hoàn toàn không bị xáo trộn.”
Mặc dù không có XVG nào bị đánh cắp trực tiếp từ người dùng, nhưng những người khai thác trên mạng không được phép làm sai lệch các quy tắc như thế này để sinh lời cho một cá nhân trong một khoảng thời gian ngắn.
Như vậy, các nhà phát triển Verge đang tích cực làm việc để cải thiện bộ mã. Sau một thời gian truyền thông từ các nhà phát triển của Verge, CryptoRekt, bút danh tác giả của “blackpaper” đã đăng trên Reddit vào ngày 31/05, nói rằng tất cả đội ngũ Verge sẽ “không bao giờ cố tình làm bất cứ điều gì để xáo trộn hoặc làm tổn thương dự án này”.
Ông nói thêm rằng nhà phát triển của dự án đã nghiên cứu bộ mã mới trong “vài tuần” để “củng cố hệ thống chống lại bất kỳ cuộc tấn công nào trong tương lai”.
Tuy nhiên, Goldman tin rằng có một vấn đề khác. Không giống như nhiều dự án tiền mã hóa hiện nay dựa trên mã nguồn mở, cơ sở mã của Verge đang được xây dựng riêng và do đó sẽ không được cộng đồng các chuyên gia blockchain xem xét ngang hàng để có thể giúp nhóm tìm ra lỗ hổng.
Tương lai của Verge?
Nhưng cho đến nay, phần lớn cộng đồng Verge vẫn ủng hộ đội ngũ phát triển và sứ mệnh của đồng tiền mã hóa này.
Người dùng Verge với biệt danh Crypto Dog đã tuyên bố rằng “không cần phải hoảng loạn”, đồng thời cho rằng sự thành công của Verge sẽ tiếp tục. Và CryptoRekt đã xem đây như là một bài học để giúp Verge “xây dựng một dự án lớn hơn và tốt hơn”.
Một số nhà phát triển tin rằng điều này sẽ mang lại ý thức trách nhiệm cao hơn cho nhiều tổ chức để phân tích hiệu quả hơn một blockchain trước khi chấp nhận nó.
Kỹ sư BitGo Mark Erhardt cho biết:
“Sự vắng mặt của một cuộc tấn công không phải là bằng chứng cho thấy một hệ thống an toàn. Khá nhiều dự án altcoin dường như đang có những lỗ hổng không an toàn. Chỉ là chưa ai khai thác những sai sót hoặc điểm yếu của hệ thống này”.
Như vậy, Verge có thể là trường hợp đầu tiên trong một loạt các vụ tấn công khác trong tương lai.
Trong khi các cuộc tấn công 51% thường được xem là khó thực hiện thì Gervais của Liquidity Network cho rằng dữ liệu mới dường như cho thấy nó dễ dàng hơn nhiều so với những suy nghĩ trước đây. Ông đã chỉ ra một ứng dụng web mới, 51crypto. Ứng dụng này theo dõi lợi nhuận để thực hiện một cuộc tấn công 51% trên các blockchain khác nhau.
Bản chất của các số liệu thống kê là, các blockchain nhỏ hơn sẽ dễ dàng vượt qua và thay đổi các quy tắc. Đó là lý do tại sao các nhà phát triển cần phải đặc biệt cẩn thận trong cách họ xây dựng hệ thống của mình.
Bởi vì theo như Gervais kết luận: “Nếu một cuộc tấn công đem lại lợi nhuận to lớn, những kẻ tấn công sẽ có mặt ở đó”.
