Bài học đắt giá từ vụ hack 1,5 tỷ USD của Bybit

Hồi tuần trước, Bybit - một trong những sàn giao dịch tiền mã hóa lớn trên thế giới đã bị hacker tấn công và lấy đi số tài sản ước tính giá trị lên đến 1,46 tỷ USD.

Đây là một trong những vụ tấn công mạng gây thiệt hại lớn nhất từ trước đến nay, để lại cho các nhà phát triển không ít những bài học “xương máu”.

Diễn giải về vụ hack Bybit, TS. Đỗ Văn Thuật, chuyên gia công nghệ, thành viên Hội đồng Khoa học Viện Công nghệ Blockchain và Trí tuệ nhân tạo (ABAII) cho hay, Bybit lưu ký tài sản ở các hợp đồng thông minh (quy tắc giao dịch được lập trình trên mạng lưới Blockchain) đa chữ ký, tức cần chữ ký số chấp thuận đồng thời của nhiều người mới có thể rút được tiền.

Trong vụ hack Bybit, bằng cách tinh vi nào đó, hacker đã tìm hiểu rõ những người quản lý hợp đồng thông minh, rồi đánh lừa, khiến họ cho phép kẻ gian rút tiền.

“Hợp đồng thông minh như kho tài sản được khóa cẩn thận, kẻ trộm không phá được khóa nhưng lại đánh lừa được người giữ chìa khóa mở cửa cho trộm vào lấy tiền mang đi”, TS Đỗ Văn Thuật nói.

TS. Đỗ Văn Thuật, thành viên Hội đồng Khoa học Viện Công nghệ Blockchain và Trí tuệ nhân tạo. Ảnh: NVCC

Chia sẻ sâu hơn về kỹ thuật, vị chuyên gia này cho hay, giao diện người dùng thường được quản lý, vận hành thông qua các hệ thống IT truyền thống (Web2) trên các nền tảng đám mây.

Hackers đã khai thác lỗ hổng server, từ đó đưa thông tin độc hại, ẩn giấu chúng, khiến cho người quản trị chủ quan, ký cấp phép cho hackers thay đổi luật hợp đồng, từ đó có thể rút tiền.

Cùng quan điểm, TS. Nguyễn Trung Thành, Chủ nhiệm Ủy ban Web3, Hiệp hội Blockchain Việt Nam cho rằng, việc thực hiện một cuộc tấn công như vậy không đơn giản và đòi hỏi nhiều điều kiện.

Kẻ tấn công đã tiến hành theo dõi một cách cẩn trọng, kiên trì và tỉ mỉ để xác định các mắt xích yếu trong hệ thống, đặc biệt là các thành phần Web2 và yếu tố con người.

Những điểm yếu này không phải lúc nào cũng tồn tại sẵn mà có thể chỉ xuất hiện khi xảy ra sơ suất trong các quy trình đưa sản phẩm lên môi trường thực, quản trị nhân sự, quản lý kho mã nguồn mở hoặc khi sử dụng sản phẩm từ bên thứ ba vốn được coi là "uy tín" nhưng lại bị tấn công.

“Một số lỗ hổng có thể đã tồn tại từ lâu nhưng không được phát hiện và khắc phục kịp thời. Khi hacker phát hiện ra những điểm yếu này, chúng sẽ trở thành mục tiêu khai thác để thực hiện hành vi xâm nhập”, TS Thành đánh giá.

Khi thị trường tài sản số ngày càng phát triển, việc thiếu đầu tư đúng mức cho bảo mật có thể gây ra các sự cố tài chính đau lòng. Ảnh: TĐ

Mặc dù các vụ tấn công ngày càng tinh vi, tuy nhiên, TS Đỗ Văn Thuật nhận định, nguyên nhân chính vẫn nằm ở những người quản trị hợp đồng thông minh bị lừa, chứ không phải hợp đồng có lỗ hổng. Phần lớn các hợp đồng thông minh vẫn an toàn với tiềm năng ứng dụng rộng mở và đầy hứa hẹn.

Để giảm thiểu rủi ro bị hack, các chuyên gia công nghệ của HIệp hội Blockchain Việt Nam cho rằng, các nhà phát triển hợp đồng thông minh và những người vận hành (nắm giữ khóa bí mật) luôn phải đặt an toàn lên hàng đầu, thường xuyên tham vấn các đơn vị an toàn thông tin, bảo mật hệ thống

Theo TS. Nguyễn Trung Thành, việc đảm bảo an toàn tuyệt đối trong lĩnh vực công nghệ thông tin là điều không thể, chúng ta chỉ có thể giảm thiểu rủi ro và dự phòng trước các tình huống có thể xảy ra.

“Không nên xem nhẹ các khoản đầu tư công nghệ. Mặc dù có thể tiết kiệm chi phí trong ngắn hạn, nhưng việc thiếu chú trọng vào bảo mật sẽ dẫn đến hậu quả nghiêm trọng về lâu dài”, TS Nguyễn Trung Thành cho biết.

Nhìn từ các vụ hack sàn giao dịch Bybit vừa qua, ông Phan Đức Trung, Chủ tịch Hiệp hội Blockchain Việt Nam kêu gọi, Việt Nam cần nhanh chóng thiết lập các tiêu chuẩn an toàn thông tin và quản lý tài sản mã hóa.

“Khi thị trường tài sản số ngày càng phát triển, việc thiếu khung pháp lý rõ ràng không chỉ khiến nhà đầu tư dễ bị tổn thương mà còn hạn chế tiềm năng của ngành blockchain. Chỉ khi có luật pháp làm nền tảng, chúng ta mới xây dựng được hệ sinh thái tài sản mã hóa đáng tin cậy, vừa bảo vệ người dùng vừa thúc đẩy đổi mới”, ông Trung nhấn mạnh.

Trọng Đạt