Khoa học & Công nghệ

Cảnh báo lỗ hổng bảo mật trong game blockchain

  • Tác giả : Hồng Linh
Sự việc mạng Ronin được phát triển cho game Axie Infinity bị hacker tấn công lấy đi lượng tiền điện tử trị giá hơn 600 triệu USD cho thấy các dự án blockchain phát triển nhanh nhưng bảo mật kém, nền móng thiếu vững chắc có thể kéo theo sự sụp đổ của cả hệ thống. Thực trạng bảo mật trong các dự án blockchain đang được các chuyên gia cảnh báo.
game-blockchain-nft.jpg
Các dự án blockchain thường là mã nguồn mở nên nếu có lỗ hổng sẽ rất dễ bị khai thác bởi giới hacker.

Bảo mật - Rủi ro của thị trường game blockchain

Ông Nguyễn Minh Đức, Giám đốc CyRadar cho biết, sau khi xảy ra vụ hack hơn 600 triệu USD, Axie Infinity đã ra thông báo và buộc phải tạm thời chặn việc rút tiền của các game thủ để kiểm soát tình hình, bảo toàn tài sản cho người chơi. Tuy nhiên, giải pháp này đã khiến nhiều game thủ thất vọng và số lượng người chơi sụt giảm.

Sự việc xảy với Blockchain Ronin vận hành Axie Infinity cho thấy, người dùng cần thay đổi suy nghĩ blockchain sẽ miễn nhiễm với các cuộc tấn công. Hoạt động phi tập trung của blockchain giúp công nghệ này có khả năng phòng vệ tốt hơn. Tuy nhiên, các giao thức, phần mềm đều do con người phát triển ra nên hoàn toàn có thể tồn tại lỗ hổng. Các vụ tấn công thời gian qua thực tế không nhắm đến yếu tố nền tảng là blockchain, mà nhắm đến các ứng dụng như game, ví hoặc sàn giao dịch, cầu nối.

Theo thống kê, trong số 10 vụ tấn công tiền mã hóa lớn nhất, có 6 vụ xảy ra năm 2021, trong khi những vụ tấn công đầu tiên đã xảy ra từ năm 2011. Như vậy, chỉ trong năm 2021 đã chiếm 60% số các vụ hack. Thiệt hại của năm 2021 bằng tổng các năm trước cộng lại, cho thấy xu hướng tấn công mạng nhắm vào các dự án blockchain đang gia tăng rất nhanh, trở thành mục tiêu rõ ràng của giới tội phạm mạng.

Các dự án blockchain thường là mã nguồn mở nên nếu có lỗ hổng sẽ rất dễ bị khai thác bởi giới hacker. Tính phi tập trung của công nghệ này làm cho việc truy vết và thu hồi tài sản khó hơn dự án truyền thống. Ví dụ như vụ hack của Axie Infinity, hacker đã bắt đầu tẩu tán tài sản bằng nhiều giao thức mà rất khó truy vết hay thu hồi.

lo-hong-bao-mat-anh-minh-hoa.jpg
Người dùng cần thay đổi suy nghĩ blockchain sẽ miễn nhiễm với các cuộc tấn công.

Cùng quan điểm, ông Hoàng Viết Tiến, Giám đốc tư vấn chiến lược Insider cũng cho rằng, thách thức trong bảo mật với dự án blockchain còn đến từ yếu tố quy trình phát triển sản phẩm và đầu tư cho nhân sự của các dự án. Nhiều dự án “nhanh, nóng”, muốn tạo ra lợi ích ngay cho sản phẩm, cộng đồng nên đầu tư và nhân lực cho bảo mật chưa nhiều. Rõ ràng nếu như các nhà phát triển chưa đủ tuân thủ nguyên tắc về an toàn thông tin, hoặc các khâu từ thiết kế, vận hành mà chưa đảm bảo các quy trình an toàn thông tin, bảo mật có thể xảy ra sơ suất.

Theo phân tích, hầu hết sơ suất đều liên quan đến yếu tố con người, như khâu thiết kế, vận hành hay lập trình, đều có thể tạo thành các lỗ hổng để kẻ xấu lợi dụng. Những dự án như vậy cũng tiềm ẩn nguy cơ khi nguồn lực cho bảo mật không được đầu tư nhiều, một số người trong nhóm có thể nổi lòng tham khi thấy khối tài sản hàng tỷ USD, gây ra rủi ro cho dự án. Các dự án cần nhìn nhận lại một cách nghiêm túc và đầu tư hơn vào bảo mật.

Làm gì để tránh bị tấn công?

Chuyên gia Nguyễn Minh Đức khẳng định, không chỉ các dự án Việt Nam, các dự án trên thế giới cũng gặp tình trạng tương tự về bảo mật. Thực tế khi một dự án hình thành, với một nhóm khoảng 3 - 5 người hoặc nhiều hơn, mà phải đầu tư cho bảo mật thì cũng rất khó, vì có thể làm chậm đi tốc độ phát triển dự án. Đây là một lý do khách quan. Không phải do họ không có nhận thức, mà do các dự án cần tập trung hơn vào việc đưa ra sản phẩm để hoàn thiện deadline. Trong khi vấn đề bảo mật thường không đo đếm được, gây tốn kém chi phí mà không mang lại hiệu quả trực tiếp, vì vậy, họ thường tạm thời bỏ qua trong giai đoạn đầu. Về sau, nếu hệ thống thành công, họ mới quay trở lại đầu tư vào bảo mật. Nhưng thực tế, có nhiều dự án thành công nhưng vẫn bị tấn công, do chưa đầu tư một cách bài bản về bảo mật.

ngay-cang-nhieu-nguoi-choi-game-kiem-tien.jpeg
Nhiều dự án chưa đầu tư một cách bài bản về bảo mật.

Giám đốc CyRadar cho rằng, để giải quyết vấn đề về bảo mật, đầu tiên các dự án blockchain có thể hợp tác với các công ty chuyên về an toàn thông tin. Các công ty này sẽ đánh giá lại các hệ thống, ứng dụng, smart contract, hạ tầng máy chủ, quy trình vận hành... tìm lỗ hổng bảo mật, phát hiện sớm hơn với các vấn đề có thể xảy ra.

Về phía các nhà đầu tư và game thủ, muốn tự bảo vệ tài sản số khi giao dịch cần lựa chọn những dự án game blockchain, những sàn giao dịch có uy tín. Không nên giao dịch trên máy tính công cộng, văn phòng hoặc mượn của người khác. Các thông tin lưu lại trên các máy này có thể gây bất lợi trong bảo mật và an toàn thông tin.

Ngoài ra, các thiết bị dùng để giao dịch cần được cài đặt các phần mềm bảo vệ để tránh bị cài mã độc. Khi tiến hành giao dịch cần kiểm tra kỹ địa chỉ ví. Vì có những mã độc có thể thay đổi địa chỉ ví thành địa chỉ của kẻ xấu. Ngoài ra, luôn lựa chọn bảo mật hai lớp, đặt mật khẩu khó và định kỳ thay đổi. Phishing luôn là phương thức tấn công hàng đầu của hacker. Vì vậy, khi nhận thông tin qua email, qua chat, kể cả giống với email từ sàn giao dịch, người dùng cũng cần đề phòng.

Theo nguồn từ báo cáo Sensor Tower, thị trường game di động toàn cầu đạt 90,7 tỷ USD vào năm 2021. Đông Nam Á là một thị trường đầy tiềm năng với các hãng làm game, đặc biệt là dòng game mobile nhờ dân số đông đảo và trẻ tuổi. Năm 2021, doanh thu thị trường game di động tại Đông Nam Á là 2.79 tỷ USD, tăng 15.4% so với cùng kỳ năm trước. Việt Nam có khoảng 3,99 triệu game thủ và hơn 60% ở độ tuổi từ 18 - 30. Trong thời kỳ Covid-19, lượng người chơi game trực tuyến ở Việt Nam tăng đột biến, với mức tăng 40% về lượt tải xuống game trên thiết bị di động ở thời điểm trước và sau Tết 2020 so với cùng kỳ năm 2019.

Hồng Linh