Trang chủ Tạp chí DAO yếu kém mời gọi tấn công và thao túng?

DAO yếu kém mời gọi tấn công và thao túng?

Các tổ chức tự trị phi tập trung (DAO) đang ngày càng phổ biến cùng với sự phát triển của các tài sản và nền tảng blockchain. Mặc dù DAO cho phép hợp tác bình đẳng ở cấp độ mới giữa các thành viên cũng như chia sẻ lợi nhuận, nhưng họ gặp khó khăn khi nói đến vấn đề bảo mật và quản trị. Những vấn đề này cần được giải quyết trước khi DAO có thể đạt được tiềm năng và triển khai rộng rãi hơn.

DAO

Lỗ hổng bảo mật của DAO

DAO loại bỏ hình thức quản trị tập trung, truyền thống và thay thế bằng một hình thức mà tất cả các thành viên cộng đồng có thể đề xuất và bỏ phiếu về những thay đổi trong tương lai đối với một dự án hoặc tổ chức. Thông thường, trọng số biểu quyết tỷ lệ thuận với số lượng token quản trị được giữ trong một ví nhất định.

Do đó, DAO được coi là toàn diện và công bằng hơn so với các mô hình lãnh đạo truyền thống và nhanh chóng trở thành cách thức vận hành các dự án phi tập trung tiêu chuẩn. Điều này có ý nghĩa nhất định, vì các cơ chế tương tự định hình nền tảng nhất định cũng có thể tạo cơ sở cho việc quản trị nền tảng đó. Nhiều khả năng xu hướng này sẽ tiếp tục, nhưng có một vấn đề nổi cộm cần quan tâm là bảo mật DAO.

DAO có một số điểm chính liên quan đến các mối lo ngại về bảo mật tiềm ẩn. Đầu tiên là code hợp đồng thông minh. Nếu code này không toàn vẹn, thì không chỉ có thể phát sinh trục trặc mà thậm chí là mục tiêu tấn công khai thác. Nếu kẻ tấn công tìm thấy bất kỳ lỗ hổng nào trong logic của code, thì chúng có khả năng hoàn tác hoàn toàn cấu trúc hoặc nền kinh tế token của DAO. Điều này gây rất nhiều áp lực cho nhà phát triển để có được các hợp đồng thông minh hoàn hảo trước khi triển khai, nếu không, toàn bộ dự án có thể bị phá hủy trong vài phút.

Một ví dụ điển hình về loại rủi ro này là những gì đã xảy ra gần đây với Temple DAO. Temple DAO được thiết kế để cho phép người dùng tăng giá trị trong khi giảm thiểu mức độ biến động. Thật không may, do một điểm yếu trong code, kẻ tấn công đã giả mạo các hợp đồng staking cũ và tự ý di chuyển số dư, rút 2,3 triệu đô la từ DAO. Đây không phải là sự cố duy nhất về các hợp đồng thông minh có sai sót và nó cho thấy vấn đề dễ dàng lọt vào tầm ngắm như thế nào.

Một khía cạnh quan trọng khác cần quan tâm là bản chất của quản trị DAO. Cho đến ngày nay, nhiều DAO vẫn chỉ thực hiện bỏ phiếu theo trọng số token. Vấn đề nằm ở chỗ những người có hầu bao rủng rỉnh có khả năng tác động không tương xứng đến tương lai của dự án và thậm chí làm hỏng hoàn toàn DAO. Tập trung hóa cũng có thể len lỏi thông qua một cơ chế tinh vi hơn, trong đó nhiều thực thể có phần nắm giữ lớn cấu kết với nhau để trục lợi cá nhân, đi ngược lại lợi ích của cộng đồng.

Một sự kiện gần đây làm nổi bật lỗ hổng quản trị của DAO là Mango Markets, một sàn giao dịch phi tập trung được xây dựng trên Solana và được Mango DAO quản lý. Ban đầu, kẻ tấn công đã mua lượng lớn token MNGO để mở một vị thế Long, thậm chí sử dụng nhiều token hơn để pump giá của tài sản, sau đó rút tiền khỏi vị trí. Hành động này đã rút lượng tiền đáng kể từ DAO và thu về tay kẻ tấn công. Sau đó, kẻ tấn công sử dụng phần lớn lượng nắm giữ để đề xuất và chấp thuận họ sẽ được cấp số tiền còn lại từ DAO.

Là hệ quả từ hai vấn đề nêu trên, thẩm quyền và thời gian phản hồi cũng là điều gây trăn trở. Ngay cả khi DAO phát hiện cuộc tấn công sớm, không thực thể nào có thể nhanh chóng phản ứng để ngăn chặn luồng giao dịch và tự mình ngăn chặn cuộc tấn công. Các quyết định quan trọng như vậy sẽ yêu cầu cộng đồng bỏ phiếu và chỉ sau khi thông qua thì các hành động mới được thực hiện. Tất nhiên, điều này có thể mất một thời gian tùy thuộc vào quy mô và sự sẵn sàng của tất cả các thành viên. Thậm chí chậm trễ một hoặc hai giờ cũng đủ để gây ra thiệt hại lớn. Hãy tưởng tượng một ngân hàng bị cướp trong thời gian thực, nhưng bộ phận an ninh không thể đưa ra bất kỳ hành động nào cho đến khi toàn bộ ban giám đốc bỏ phiếu thông qua. Tất nhiên, hậu quả là khôn lường.

Tăng cường DAO chống lại các cuộc tấn công

Có nhiều điều quan trọng mà DAO có thể và cần phải làm nếu họ muốn giảm thiểu những rủi ro này. Bằng cách xây dựng một hệ thống kiểm tra và cân bằng toàn diện hơn, bảo mật DAO có thể được thắt chặt đáng kể.

Đầu tiên và quan trọng nhất là quy trình kiểm soát chất lượng rộng rãi cho code hợp đồng thông minh, bao gồm cả kiểm toán. Kiểm toán toàn diện và độc lập code là không thể thiếu và phải diễn ra thường xuyên nếu code vẫn đang phát triển. Kiểm toán là tuyến phòng thủ cuối cùng chống lại các lỗi bảo mật đang được đưa vào sản xuất và không bao giờ là thừa. Được bên thứ ba kiểm tra kỹ lưỡng từng code là cách tốt nhất để đạt được mức độ an toàn hợp lý trước khi phát hành. Ngoài việc chỉ xem xét các hợp đồng thông minh của dự án, các giao thức khác mà DAO tương tác chẳng hạn như token của bên thứ ba và thị trường DeFi cũng cần được đánh giá thấu đáo, vì một số vấn đề chỉ trở nên rõ ràng khi nhiều giao thức tích hợp theo những cách không mong muốn trước đây.

Tiếp theo, DAO cần được giám sát mạng theo thời gian thực. Như vậy, cần có phần mềm công khai sẵn sàng theo dõi và hiển thị các hoạt động của toàn bộ hệ sinh thái. Bằng cách này, có thể kịp thời nắm bắt các sự cố xảy ra, bằng cách ghi lại những khoảnh khắc các giao dịch lớn được thực hiện hoặc các chỉ số gây tò mò khác.

Để tận dụng lợi ích của việc kiểm toán và giám sát, các thành viên của DAO cũng cần phải xác định rõ vai trò của mình để ứng phó với những sự kiện này. Một số thành viên hoặc nhóm thành viên phải chịu trách nhiệm báo cáo hoạt động đáng ngờ hoặc các lỗ hổng rõ ràng được phát hiện. Cần phải có một chuỗi mệnh lệnh để thông tin nhạy cảm chỉ được cung cấp cho đúng người đến khi tìm ra giải pháp. Cuối cùng, các thành viên cần tham gia phải hiểu tất cả các giao thức để xác định, phổ biến và phản ứng, nếu không có thể xảy ra sự nhầm lẫn và hỗn loạn.

Cuối cùng, cũng cần có các kênh giao tiếp rõ ràng và minh bạch với cộng đồng. Nhận được thông tin thích hợp một cách kịp thời là rất quan trọng để cho thấy dự án đang ở trong tay những người tốt. Ngoài ra, nên khuyến khích các giải pháp bảo mật phi tập trung bằng cách đưa cơ sở người dùng lớn hơn vào cả quá trình phát triển và phản hồi của các hệ thống mới.

Bảo mật DAO không phải là một điều đơn giản. Không có chiến lược nào bao gồm tất cả các kịch bản. Hơn nữa, nó là một lĩnh vực vẫn đang phát triển. Điều này có nghĩa là không ai thực sự biết mọi vấn đề bảo mật có thể xảy ra một ngày nào đó, cũng như giải pháp hiệu quả. Tuy nhiên, hiện có rất nhiều việc có thể làm để DAO phù hợp hơn với mức độ an toàn cần để được chấp nhận rộng rãi. Chìa khóa nằm ở cả việc thu thập thông tin cũng như biết phải làm gì với thông tin đó. Bằng cách triển khai các phương pháp mới nhất, không có lý do gì để các tổ chức này phải tiếp tục gánh chịu những khoản lỗ hàng triệu đô la.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Minh Anh

Theo Forkast

MỚI CẬP NHẬT

Chuyên gia hàng đầu về BTC cho biết Algotech (ALGT) đã sẵn sàng cho...

 Khi sự kiện halving Bitcoin (BTC) sắp diễn ra, thị trường tiền điện tử có cảm giác không chắc chắn khi các chuyên gia...
Ethereum

Các nhà phát triển Ethereum điều tra sự cố gây thiếu block trên mainnet...

Mainnet Ethereum gần đây đã bị gián đoạn do thiếu các block, gây lo ngại về tính ổn định và hiệu suất của mạng....

Hơn 90 triệu đô la OP đã được tung ra thị trường – Tiếp...

Gần 106 triệu đô la token được mở khóa trong tuần này, trong đó, 90,36 triệu đô la OP của Optimism (24,16 triệu token)...

Giá Jito (JTO) có thể đạt 6 USD nếu mô hình tăng giá này...

Giá Jito (JTO) đã có xu hướng tăng kể từ khi hình thành đáy tròn cục bộ trong khoảng thời gian từ ngày 9...
xrp

XRP bắt đầu tăng giá, nhà phân tích hàng đầu dự đoán mức tăng...

XRP đang trong xu hướng tăng giá nhẹ nhưng rõ ràng vì giá của nó đã tăng 1,2% trong 24 giờ qua lên 0,61...

Bitcoin Cash chuẩn bị cho halving 5 ngày tới: Giá BCH nhảy vọt 40%,...

Trước khi thị trường chào đón Bitcoin halving làm giảm một nửa phần thưởng block dành cho thợ đào từ 6,25 BTC xuống còn...
Ethereum

Vitalik giải thích các bước tiếp theo của Ethereum sau nâng cấp Dencun

Vitalik tin rằng nâng cấp mở rộng quy mô Ethereum sẽ “tăng dần” kể từ đây trở đi và các tiêu chuẩn cộng đồng...
Top 5 tiền điện tử nên mua

Top 5 tiền điện tử nên mua để chuẩn bị cho đợt phục hồi...

 Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) gần đây đã đẩy nhanh thời hạn xung quanh quyết định phê duyệt Ethereum...

Binance công bố dự án thứ 50 trên Launchpool: Ethena (ENA)

Binance đã giới thiệu dự án thứ 50 của mình trên Binance Launchpool, Ethena (ENA) - một giao thức Synthetic Dollar (tạm dịch: đô...

Bitcoin có làm lu mờ Ethereum trong thị trường tăng giá tiếp theo không?

Cặp ETH/BTC đã duy trì trên ngưỡng hỗ trợ 0,05 trong sáu tháng qua. Sự ổn định lâu dài này có thể báo hiệu...

Wormhole ấn định thời điểm airdrop token W vào ngày 3/4

Trong bối cảnh airdrop ngày càng trở nên phổ biến và thu hút sự quan tâm của cộng đồng tiền điện tử, Wormhole đã...
BTC-tang

Bitcoin có thể tăng cao đến mức nào trong chu kỳ này: $180.000 hay...

Theo Laurent Benayoun, CEO của Acheron Trading và chuyên gia giao dịch định lượng, giá Bitcoin (BTC) có thể tăng thêm 150% trong chu...
Tigran Gambaryan của Binance nộp đơn kiện chính quyền Nigeria

Nhà điều hành Binance nộp đơn kiện chính quyền Nigeria

Nhà điều hành Binance đang bị giam giữ Tigran Gambaryan đã đệ đơn kiện chống lại Cố vấn An ninh Quốc gia Nigeria (NSA)...
eth

3 số liệu gợi ý điều chỉnh giá ETH vẫn chưa kết thúc

Sau khi tăng lên 4.091 đô la trước nâng cấp Dencun, ETH hoạt động kém hiệu quả trong tháng qua so với Bitcoin và...

Nhiều memecoin “cõng tin” SBF ngồi tù 25 năm đã được tung ra, có...

Trong thời điểm diễn ra phiên điều trần kết án cựu trùm tiền điện tử Sam Bankman-Fried vì những tội trạng nghiêm trọng đã...

Google lập chỉ mục dữ liệu blockchain Bitcoin và 5 mạng EVM

Dữ liệu blockchain từ nhiều mạng khác nhau như Bitcoin và các mạng EVM đã được tích hợp vào công cụ tìm kiếm của...