Trang chủ Tạp chí DAO yếu kém mời gọi tấn công và thao túng?

DAO yếu kém mời gọi tấn công và thao túng?

Các tổ chức tự trị phi tập trung (DAO) đang ngày càng phổ biến cùng với sự phát triển của các tài sản và nền tảng blockchain. Mặc dù DAO cho phép hợp tác bình đẳng ở cấp độ mới giữa các thành viên cũng như chia sẻ lợi nhuận, nhưng họ gặp khó khăn khi nói đến vấn đề bảo mật và quản trị. Những vấn đề này cần được giải quyết trước khi DAO có thể đạt được tiềm năng và triển khai rộng rãi hơn.

DAO

Lỗ hổng bảo mật của DAO

DAO loại bỏ hình thức quản trị tập trung, truyền thống và thay thế bằng một hình thức mà tất cả các thành viên cộng đồng có thể đề xuất và bỏ phiếu về những thay đổi trong tương lai đối với một dự án hoặc tổ chức. Thông thường, trọng số biểu quyết tỷ lệ thuận với số lượng token quản trị được giữ trong một ví nhất định.

Do đó, DAO được coi là toàn diện và công bằng hơn so với các mô hình lãnh đạo truyền thống và nhanh chóng trở thành cách thức vận hành các dự án phi tập trung tiêu chuẩn. Điều này có ý nghĩa nhất định, vì các cơ chế tương tự định hình nền tảng nhất định cũng có thể tạo cơ sở cho việc quản trị nền tảng đó. Nhiều khả năng xu hướng này sẽ tiếp tục, nhưng có một vấn đề nổi cộm cần quan tâm là bảo mật DAO.

DAO có một số điểm chính liên quan đến các mối lo ngại về bảo mật tiềm ẩn. Đầu tiên là code hợp đồng thông minh. Nếu code này không toàn vẹn, thì không chỉ có thể phát sinh trục trặc mà thậm chí là mục tiêu tấn công khai thác. Nếu kẻ tấn công tìm thấy bất kỳ lỗ hổng nào trong logic của code, thì chúng có khả năng hoàn tác hoàn toàn cấu trúc hoặc nền kinh tế token của DAO. Điều này gây rất nhiều áp lực cho nhà phát triển để có được các hợp đồng thông minh hoàn hảo trước khi triển khai, nếu không, toàn bộ dự án có thể bị phá hủy trong vài phút.

Một ví dụ điển hình về loại rủi ro này là những gì đã xảy ra gần đây với Temple DAO. Temple DAO được thiết kế để cho phép người dùng tăng giá trị trong khi giảm thiểu mức độ biến động. Thật không may, do một điểm yếu trong code, kẻ tấn công đã giả mạo các hợp đồng staking cũ và tự ý di chuyển số dư, rút 2,3 triệu đô la từ DAO. Đây không phải là sự cố duy nhất về các hợp đồng thông minh có sai sót và nó cho thấy vấn đề dễ dàng lọt vào tầm ngắm như thế nào.

Một khía cạnh quan trọng khác cần quan tâm là bản chất của quản trị DAO. Cho đến ngày nay, nhiều DAO vẫn chỉ thực hiện bỏ phiếu theo trọng số token. Vấn đề nằm ở chỗ những người có hầu bao rủng rỉnh có khả năng tác động không tương xứng đến tương lai của dự án và thậm chí làm hỏng hoàn toàn DAO. Tập trung hóa cũng có thể len lỏi thông qua một cơ chế tinh vi hơn, trong đó nhiều thực thể có phần nắm giữ lớn cấu kết với nhau để trục lợi cá nhân, đi ngược lại lợi ích của cộng đồng.

Một sự kiện gần đây làm nổi bật lỗ hổng quản trị của DAO là Mango Markets, một sàn giao dịch phi tập trung được xây dựng trên Solana và được Mango DAO quản lý. Ban đầu, kẻ tấn công đã mua lượng lớn token MNGO để mở một vị thế Long, thậm chí sử dụng nhiều token hơn để pump giá của tài sản, sau đó rút tiền khỏi vị trí. Hành động này đã rút lượng tiền đáng kể từ DAO và thu về tay kẻ tấn công. Sau đó, kẻ tấn công sử dụng phần lớn lượng nắm giữ để đề xuất và chấp thuận họ sẽ được cấp số tiền còn lại từ DAO.

Là hệ quả từ hai vấn đề nêu trên, thẩm quyền và thời gian phản hồi cũng là điều gây trăn trở. Ngay cả khi DAO phát hiện cuộc tấn công sớm, không thực thể nào có thể nhanh chóng phản ứng để ngăn chặn luồng giao dịch và tự mình ngăn chặn cuộc tấn công. Các quyết định quan trọng như vậy sẽ yêu cầu cộng đồng bỏ phiếu và chỉ sau khi thông qua thì các hành động mới được thực hiện. Tất nhiên, điều này có thể mất một thời gian tùy thuộc vào quy mô và sự sẵn sàng của tất cả các thành viên. Thậm chí chậm trễ một hoặc hai giờ cũng đủ để gây ra thiệt hại lớn. Hãy tưởng tượng một ngân hàng bị cướp trong thời gian thực, nhưng bộ phận an ninh không thể đưa ra bất kỳ hành động nào cho đến khi toàn bộ ban giám đốc bỏ phiếu thông qua. Tất nhiên, hậu quả là khôn lường.

Tăng cường DAO chống lại các cuộc tấn công

Có nhiều điều quan trọng mà DAO có thể và cần phải làm nếu họ muốn giảm thiểu những rủi ro này. Bằng cách xây dựng một hệ thống kiểm tra và cân bằng toàn diện hơn, bảo mật DAO có thể được thắt chặt đáng kể.

Đầu tiên và quan trọng nhất là quy trình kiểm soát chất lượng rộng rãi cho code hợp đồng thông minh, bao gồm cả kiểm toán. Kiểm toán toàn diện và độc lập code là không thể thiếu và phải diễn ra thường xuyên nếu code vẫn đang phát triển. Kiểm toán là tuyến phòng thủ cuối cùng chống lại các lỗi bảo mật đang được đưa vào sản xuất và không bao giờ là thừa. Được bên thứ ba kiểm tra kỹ lưỡng từng code là cách tốt nhất để đạt được mức độ an toàn hợp lý trước khi phát hành. Ngoài việc chỉ xem xét các hợp đồng thông minh của dự án, các giao thức khác mà DAO tương tác chẳng hạn như token của bên thứ ba và thị trường DeFi cũng cần được đánh giá thấu đáo, vì một số vấn đề chỉ trở nên rõ ràng khi nhiều giao thức tích hợp theo những cách không mong muốn trước đây.

Tiếp theo, DAO cần được giám sát mạng theo thời gian thực. Như vậy, cần có phần mềm công khai sẵn sàng theo dõi và hiển thị các hoạt động của toàn bộ hệ sinh thái. Bằng cách này, có thể kịp thời nắm bắt các sự cố xảy ra, bằng cách ghi lại những khoảnh khắc các giao dịch lớn được thực hiện hoặc các chỉ số gây tò mò khác.

Để tận dụng lợi ích của việc kiểm toán và giám sát, các thành viên của DAO cũng cần phải xác định rõ vai trò của mình để ứng phó với những sự kiện này. Một số thành viên hoặc nhóm thành viên phải chịu trách nhiệm báo cáo hoạt động đáng ngờ hoặc các lỗ hổng rõ ràng được phát hiện. Cần phải có một chuỗi mệnh lệnh để thông tin nhạy cảm chỉ được cung cấp cho đúng người đến khi tìm ra giải pháp. Cuối cùng, các thành viên cần tham gia phải hiểu tất cả các giao thức để xác định, phổ biến và phản ứng, nếu không có thể xảy ra sự nhầm lẫn và hỗn loạn.

Cuối cùng, cũng cần có các kênh giao tiếp rõ ràng và minh bạch với cộng đồng. Nhận được thông tin thích hợp một cách kịp thời là rất quan trọng để cho thấy dự án đang ở trong tay những người tốt. Ngoài ra, nên khuyến khích các giải pháp bảo mật phi tập trung bằng cách đưa cơ sở người dùng lớn hơn vào cả quá trình phát triển và phản hồi của các hệ thống mới.

Bảo mật DAO không phải là một điều đơn giản. Không có chiến lược nào bao gồm tất cả các kịch bản. Hơn nữa, nó là một lĩnh vực vẫn đang phát triển. Điều này có nghĩa là không ai thực sự biết mọi vấn đề bảo mật có thể xảy ra một ngày nào đó, cũng như giải pháp hiệu quả. Tuy nhiên, hiện có rất nhiều việc có thể làm để DAO phù hợp hơn với mức độ an toàn cần để được chấp nhận rộng rãi. Chìa khóa nằm ở cả việc thu thập thông tin cũng như biết phải làm gì với thông tin đó. Bằng cách triển khai các phương pháp mới nhất, không có lý do gì để các tổ chức này phải tiếp tục gánh chịu những khoản lỗ hàng triệu đô la.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Forkast

MỚI CẬP NHẬT

Binance công bố dự án thứ 63 trên Launchpool: Bio Protocol (BIO)

Binance đã giới thiệu dự án thứ 63 của mình trên Binance Launchpool, Bio Protocol (BIO), một dự án khoa học phi tập trung (DeSci)...
bitcoin

VanEck: Quỹ dự trữ Bitcoin của Hoa Kỳ có thể cắt giảm 35% nợ...

Theo công ty quản lý tài sản VanEck, Hoa Kỳ có thể giảm nợ quốc gia 35% trong 24 năm tới nếu thành lập...

Hành trình vươn tầm của CoinEx: Con đường vinh quang trong 7 năm qua

Trong một thị trường crypto luôn biến động, với sự cạnh tranh khốc liệt và quy trình đào thải nghiệt ngã, câu nói của...
Thị trường stablecoin bùng nổ trong năm 2024

Thị trường stablecoin bùng nổ trong năm 2024, hứa hẹn 2025 tươi sáng

Thị trường stablecoin đã chuyển từ tiềm năng sang bùng nổ vào năm 2024. Đầu năm, tổng vốn hóa thị trường chỉ khoảng 135...

Unichain dự kiến sẽ ra mắt vào đầu năm 2025

Unichain, một giải pháp Layer 2 tập trung vào DeFi được xây dựng trên OP Stack và phát triển bởi Uniswap, dự kiến sẽ...
OpenAI

Ý phạt OpenAI 15 triệu đô la vì vi phạm quyền riêng tư và...

Cơ quan bảo vệ dữ liệu của Ý đã phạt OpenAI 15,7 triệu đô la (15 triệu euro) và ra lệnh cho nhà sản...

3 đợt mở khóa token không thể bỏ lỡ trong tuần này

Để tránh ảnh hưởng tiêu cực đến giá trị thị trường, các đợt mở khóa token trước đây thường được giới hạn theo các...

Metaplanet vừa mua dip 620 Bitcoin, nâng tổng nắm giữ lên 1.762 BTC

Công ty đầu tư Nhật Bản Metaplanet vừa thực hiện giao dịch mua Bitcoin lớn nhất từ trước đến nay, thu về gần 620...
token BUIDL của BlackRock làm tài sản hỗ trợ stablecoin Frax USD

Frax Finance cân nhắc dùng BUIDL của BlackRock để hỗ trợ stablecoin frxUSD

Frax Finance, một giao thức stablecoin phi tập trung, đang cân nhắc tích hợp token BUIDL của BlackRock làm tài sản dự trữ hỗ...
Thượng nghị sĩ Lummis đề xuất bán vàng của Fed để đầu tư dự trữ Bitcoin

Thượng nghị sĩ Hoa Kỳ đề xuất trao quyền sở hữu Bitcoin cho Fed

Thượng nghị sĩ Hoa Kỳ Cynthia Lummis gần đây đã tái khẳng định kế hoạch mở rộng phạm vi cho phép Cục Dự trữ...
SOL-giam

Việc rút 1,1 tỷ USD đẩy TVL của Solana (SOL) xuống mức thấp hàng...

Tổng giá trị bị khóa (TVL) của Solana đã giảm mạnh xuống mức thấp nhất trong tháng này, phản ánh sự suy giảm hoạt...
btt-giam

BitTorrent (BTT) phục hồi, nhưng đà tăng có thể không bền vững

BTT, token gốc vận hành nền tảng chia sẻ tệp ngang hàng (P2P) phi tập trung BitTorrent, đã trở thành tài sản có mức...
Cơn sốt Stablecoin: USDE gần đạt 6 tỷ đô la và USD0 vượt qua 1 tỷ đô la nguồn cung

Cơn sốt Stablecoin: USDE gần đạt 6 tỷ đô la và USD0 vượt 1...

Trong tháng qua, thị trường stablecoin đã chứng kiến sự tăng trưởng vượt bậc, đạt mức hơn 200 tỷ USD. Đáng chú ý, hai...
btc-phuc-hoi

2,25 tỷ USD Bitcoin rút khỏi sàn giao dịch: Tín hiệu cho đợt phục...

Tính đến thời điểm hiện tại, tiền điện tử hàng đầu đang giao dịch ở mức $93.893, thấp hơn ngưỡng quan trọng $100.000. Điều đáng...

Giá Coin hôm nay 23/12: Bitcoin trượt về dưới $94.000, altcoin đỏ lửa, Phố...

Bitcoin tiếp tục trượt về quanh $94.000, khép lại tuần qua trong sắc đỏ sau đợt phục hồi vào ngày cuối tuần. Chứng khoán Mỹ Hợp...

XRP có nguy cơ giảm xuống 1 đô la tương tự năm 2018

Sau một đợt tăng trưởng đột biến gần 500% trong những tuần qua, giá XRP có vẻ như đang tiếp cận mức trần cục...