Vi phạm an ninh gần đây tại Bybit

Vi phạm an ninh gần đây với khoảng 1,5 tỷ đô la tại Bybit, sàn giao dịch tiền điện tử lớn thứ hai thế giới theo khối lượng giao dịch, đã gửi những làn sóng qua cộng đồng tài sản kỹ thuật số. Với 20 tỷ đô la trong tài sản của khách hàng đang được giữ, Bybit đã phải đối mặt với một thách thức lớn khi một kẻ tấn công đã khai thác các biện pháp kiểm soát an ninh trong một cuộc chuyển giao định kỳ từ ví “lạnh” offline sang ví “ấm” được sử dụng cho giao dịch hàng ngày.

Chi tiết về lỗ hổng

Các báo cáo ban đầu gợi ý rằng lỗ hổng có liên quan đến một triển khai Web3 tự phát triển sử dụng Gnosis Safe — một ví nhiều chữ ký sử dụng các kỹ thuật mở rộng ngoài chuỗi, có kiến trúc có thể nâng cấp tập trung và giao diện người dùng để ký. Mã độc được triển khai qua kiến trúc có thể nâng cấp đã khiến một giao dịch trông như bình thường thực chất là một hợp đồng đã bị thay đổi. Sự cố này đã kích hoạt khoảng 350.000 yêu cầu rút tiền khi người dùng vội vã bảo vệ quỹ của mình.

Khi xét về tổng thể, vi phạm này là đáng kể.
erms, sự vi phạm này – ước tính dưới 0.01% tổng vốn hóa thị trường tiền điện tử – cho thấy cách mà những gì từng là một khủng hoảng tồn tại giờ đã trở thành một sự cố hoạt động có thể quản lý. Việc Bybit nhanh chóng đảm bảo rằng tất cả các khoản tiền chưa được thu hồi sẽ được bù đắp thông qua dự trữ của mình hoặc các khoản vay từ đối tác càng chứng minh sự trưởng thành của họ.

Lỗi con người trong bảo mật tiền điện tử

Kể từ khi ra đời của tiền điện tử, lỗi con người – chứ không phải là lỗi kỹ thuật trong các giao thức blockchain – luôn là lỗ hổng chính. Nghiên cứu của chúng tôi xem xét hơn một thập kỷ các vụ vi phạm tiền điện tử lớn cho thấy các yếu tố con người luôn chiếm ưu thế. Chỉ trong năm 2024, khoảng 2.2 tỷ đô la đã bị đánh cắp.

Điều nổi bật là những vụ vi phạm này tiếp tục xảy ra vì những lý do tương tự: Các tổ chức không bảo vệ được các hệ thống vì họ không sẵn sàng thừa nhận trách nhiệm rõ ràng cho chúng, hoặc dựa vào các giải pháp được xây dựng tùy chỉnh mà duy trì ảo tưởng rằng các yêu cầu của họ
các khung bảo mật đã được thiết lập. Mô hình tự làm mới các phương pháp bảo mật thay vì điều chỉnh các phương pháp đã được chứng minh duy trì những lỗ hổng.

Trong khi công nghệ blockchain và các công nghệ mã hóa đã chứng minh là vững chắc về mặt mã hóa, liên kết yếu nhất trong bảo mật không phải là công nghệ mà là yếu tố con người tương tác với nó. Mô hình này vẫn giữ được sự nhất quán đáng kể từ những ngày đầu của tiền mã hóa cho đến các môi trường thể chế tinh vi ngày nay, phản ánh những mối quan ngại về an ninh mạng trong các lĩnh vực truyền thống hơn.

Những Lỗi Con Người Thông Thường

Những lỗi con người này bao gồm việc quản lý sai lầm các khóa riêng, nơi mà việc mất, xử lý sai hoặc để lộ các khóa riêng sẽ làm compromit an ninh. Các cuộc tấn công kỹ thuật xã hội vẫn là một mối đe dọa lớn khi những kẻ tấn công thao túng nạn nhân để tiết lộ dữ liệu nhạy cảm thông qua lừa đảo, giả mạo và đánh lừa.

Giải Pháp Bảo Mật Tập Trung Vào Con Người

Các giải pháp chỉ mang tính kỹ thuật không thể giải quyết những gì về bản chất là một vấn đề con người. Trong khi
ngành công nghiệp đã đầu tư hàng tỷ vào các biện pháp bảo mật công nghệ, nhưng so với đó, rất ít được đầu tư để giải quyết các yếu tố con người thường xuyên tạo điều kiện cho các sự cố bảo mật.

Một rào cản đối với bảo mật hiệu quả là sự miễn cưỡng thừa nhận quyền sở hữu và trách nhiệm đối với các hệ thống dễ bị tổn thương. Các tổ chức không rõ ràng trong việc phân định những gì họ kiểm soát — hoặc khẳng định rằng môi trường của họ quá độc đáo để các nguyên tắc bảo mật đã được thiết lập có thể áp dụng — tạo ra các điểm mù mà kẻ tấn công dễ dàng khai thác.

Điều này phản ánh điều mà chuyên gia bảo mật Bruce Schneier đã gọi là một quy luật của bảo mật: các hệ thống được thiết kế một cách biệt lập bởi các nhóm tin rằng chúng là duy nhất gần như luôn có những lỗ hổng nghiêm trọng mà các phương pháp bảo mật đã được thiết lập sẽ khắc phục. Ngành công nghiệp tiền điện tử đã nhiều lần rơi vào cái bẫy này, thường xây dựng lại các khung bảo mật từ con số không thay vì thích ứng các phương pháp đã được chứng minh từ tài chính truyền thống và an ninh thông tin.

Thiết kế lại các giao thức bảo mật

Một sự thay đổi trong tư duy hướng tới thiết kế bảo mật tập trung vào con người là điều cần thiết. Thật mỉa mai, trong khi tài chính truyền thống đã phát triển từ xác thực một yếu tố (mật khẩu) sang xác thực nhiều yếu tố (MFA), tiền mã hóa ban đầu đã đơn giản hóa bảo mật trở lại xác thực một yếu tố thông qua khóa riêng hoặc cụm từ hạt giống dưới lớp bảo mật thông qua mã hóa đơn thuần. Sự đơn giản hóa này là nguy hiểm, dẫn đến việc ngành công nghiệp này chạy đua với nhiều lỗ hổng và khai thác khác nhau. Sau hàng tỷ đô la thua lỗ, chúng ta đến với những phương pháp bảo mật tinh vi hơn mà tài chính truyền thống đã áp dụng.

Các giải pháp hiện đại và công nghệ quản lý quy định cần thừa nhận rằng lỗi con người là điều không thể tránh khỏi và thiết kế các hệ thống vẫn đảm bảo an toàn bất chấp những sai sót này chứ không phải giả định rằng con người hoàn toàn tuân thủ các giao thức bảo mật. Quan trọng là, công nghệ không thay đổi các động lực cơ bản. Việc triển khai nó đi kèm với chi phí trực tiếp, và việc tránh xa nó có nguy cơ gây tổn hại đến danh tiếng.

Cơ chế bảo mật
cần tiến hóa vượt ra ngoài việc chỉ bảo vệ các hệ thống kỹ thuật để dự đoán những sai lầm của con người và kiên cường chống lại những cạm bẫy thường gặp. Các thông tin xác thực tĩnh, chẳng hạn như mật khẩu và mã thông báo xác thực, không đủ để chống lại những kẻ tấn công, những người khai thác hành vi dự đoán của con người. Các hệ thống bảo mật nên tích hợp phát hiện sự bất thường trong hành vi để đánh dấu các hoạt động đáng ngờ.

Các khóa riêng được lưu trữ ở một vị trí duy nhất, dễ dàng tiếp cận, tạo ra một rủi ro về an ninh lớn. Việc phân tán lưu trữ khóa giữa các môi trường ngoại tuyến và trực tuyến giảm thiểu khả năng bị xâm phạm toàn bộ khóa. Ví dụ, việc lưu trữ một phần khóa trong một mô-đun bảo mật phần cứng trong khi giữ một phần khác ở chế độ ngoại tuyến sẽ nâng cao an ninh bằng cách yêu cầu nhiều xác minh để truy cập đầy đủ — đưa lại các nguyên tắc xác thực đa yếu tố vào bảo mật tiền điện tử.

Các bước hành động cho một phương pháp bảo mật tập trung vào con người

Một khung bảo mật toàn diện tập trung vào con người phải giải quyết các lỗ hổng tiền điện tử ở nhiều cấp độ, với cách tiếp cận phối hợp.
các giao dịch lớn và giáo dục người dùng về các phương pháp bảo mật tốt nhất.

Đối với người dùng cá nhân, các giải pháp ví phần cứng vẫn là tiêu chuẩn tốt nhất. Tuy nhiên, nhiều người dùng thích sự tiện lợi hơn là trách nhiệm về bảo mật, vì vậy giải pháp thứ hai tốt nhất là các sàn giao dịch thực hiện các thực hành từ tài chính truyền thống: các khoảng thời gian chờ mặc định (nhưng có thể điều chỉnh) cho các giao dịch lớn, hệ thống tài khoản phân cấp với các mức độ ủy quyền khác nhau, và giáo dục bảo mật nhạy cảm với ngữ cảnh được kích hoạt tại các điểm quyết định quan trọng.

Các sàn giao dịch và tổ chức phải chuyển từ việc giả định tuân thủ hoàn hảo của người dùng sang thiết kế các hệ thống dự đoán sai sót của con người. Điều này bắt đầu bằng việc công nhận rõ ràng các thành phần và quy trình mà họ kiểm soát và do đó có trách nhiệm bảo mật.

Sự phủ nhận hoặc không rõ ràng về ranh giới trách nhiệm trực tiếp undermines nỗ lực bảo mật. Một khi trách nhiệm này được thiết lập, các tổ chức nên thực hiện phân tích hành vi để phát hiện các mẫu bất thường, yêu cầu ủy quyền đa bên cho
các chuyển nhượng giá trị cao và triển khai các “circuit breaker” tự động hạn chế thiệt hại tiềm tàng nếu bị xâm phạm.

Ngoài ra, sự phức tạp của các công cụ Web3 tạo ra các bề mặt tấn công lớn. Việc đơn giản hóa và áp dụng các mẫu bảo mật đã được thiết lập sẽ giảm thiểu các lỗ hổng mà không hy sinh chức năng.

Tại cấp độ ngành, các nhà quản lý và lãnh đạo có thể thiết lập các yêu cầu về yếu tố con người tiêu chuẩn trong các chứng nhận bảo mật, nhưng có những sự đánh đổi giữa đổi mới và an toàn. Sự cố Bybit minh họa cách mà hệ sinh thái tiền điện tử đã phát triển từ những ngày đầu mong manh đến một hệ thống tài chính bền vững hơn. Trong khi các vi phạm bảo mật vẫn tiếp tục — và có lẽ sẽ luôn tiếp tục — bản chất của chúng đã thay đổi từ những mối đe dọa sống còn có thể phá hủy niềm tin vào tiền điện tử như một khái niệm sang những thách thức vận hành cần các giải pháp kỹ thuật liên tục.

Tương lai của bảo mật tiền điện tử không nằm ở việc theo đuổi mục tiêu không thể đạt được là loại bỏ hoàn toàn mọi sai sót của con người mà nằm ở việc thiết kế hệ thống
s mà vẫn được bảo mật bất chấp những sai lầm không thể tránh khỏi của con người. Điều này yêu cầu trước tiên phải thừa nhận những khía cạnh nào của hệ thống thuộc trách nhiệm của tổ chức chứ không phải duy trì sự không rõ ràng dẫn đến những khoảng trống trong bảo mật.

Bằng cách thừa nhận những hạn chế của con người và xây dựng các hệ thống phù hợp với chúng, hệ sinh thái tiền điện tử có thể tiếp tục phát triển từ sự tò mò đầu cơ thành cơ sở hạ tầng tài chính vững chắc thay vì giả định về sự tuân thủ hoàn hảo với các giao thức bảo mật.

Chìa khóa để bảo mật tiền điện tử hiệu quả trong thị trường đang chín muồi này không nằm ở các giải pháp kỹ thuật phức tạp hơn mà ở thiết kế lấy con người làm trung tâm đầy suy nghĩ. Bằng cách ưu tiên các kiến trúc bảo mật tính đến thực tế hành vi và những hạn chế của con người, chúng ta có thể xây dựng một hệ sinh thái tài chính kỹ thuật số kiên cường hơn, tiếp tục hoạt động an toàn khi — chứ không phải nếu — những sai lầm của con người xảy ra.