Lưu trữ cho từ khóa: #Bảo vệ

Công nghệ

Dự án tiền điện tử của bạn cần một cảnh sát trưởng, không phải thợ săn tiền thưởng

Để lại phản hồi

Việc khai thác hàng trăm triệu đô la của Avi Eisenberg trên nền tảng giao dịch phi tập trung Mango Markets đã tiết lộ những động cơ sai trái của tiền thưởng phát hiện lỗi.

Vào ngày 18 tháng 4, Avi Eisenberg bị kết tội lừa đảo vì hành vi khai thác Mango Markets vào tháng 10 năm 2022. Vụ việc đã thu hút sự chú ý đặc biệt vì Eisenberg nhanh chóng thừa nhận đã thực hiện vụ tấn công trị giá 110 triệu đô la và mô tả chiến thuật của anh ta không phải là một tội ác mà là một “chiến lược giao dịch có lợi nhuận cao”, dựa trên cách giải thích của anh ta về câu châm ngôn rằng “mật mã là luật”.

Steven Walbroehl là người đồng sáng lập và giám đốc công nghệ của Halborn, một công ty an ninh mạng chuyên về các công ty blockchain.

Bật tiếng

Eisenberg cũng cố gắng biện minh cho hoạt động của mình theo cách thứ hai: bằng cách coi số tiền thu được là “tiền thưởng phát hiện lỗi” hoặc phần thưởng cho việc xác định được lỗ hổng. Đó là cách các bên mô tả một thỏa thuận trong đó Eisenberg trả lại khoảng 67 triệu đô la cho Mango, nhưng giữ lại 47 triệu đô la còn lại, để đổi lấy lời hứa không buộc tội. Điều đó có thể khiến nó trở thành khoản tiền thưởng phát hiện lỗi lớn nhất trong lịch sử .

Tôi đã là chuyên gia an ninh mạng được 15 năm và tôi đã tự mình thực hiện một số hoạt động săn lỗi để kiếm tiền thưởng. Vì vậy hãy tin tôi khi tôi nói: đó không phải là cách hoạt động của tiền thưởng tìm lỗi.

Ban lãnh đạo Mango sau đó đã từ chối thỏa thuận với Eisenberg, có thể hiểu rằng thỏa thuận được thực hiện dưới sự ép buộc . Các tòa án cũng không coi trọng việc đóng khung “tiền thưởng” . Điều đó tốt, bởi vì ý tưởng rằng một tên trộm có thể trả lại một số chiến lợi phẩm của mình và đột nhiên trở thành anh hùng sẽ tạo ra những động cơ nguy hiểm.

Nhưng vụ việc cũng minh họa tại sao ngay cả tiền thưởng tìm lỗi thích hợp cũng gây tranh cãi giữa các chuyên gia an ninh mạng. Mặc dù chúng có vai trò trong phương pháp bảo mật toàn diện nhưng chúng chỉ có thể tạo ra ảo tưởng về sự an toàn nếu được sử dụng một cách riêng biệt. Tệ hơn nữa, họ có thể tạo ra những động cơ đồi trụy và máu xấu làm tăng rủi ro thay vì giảm thiểu nó. – đặc biệt là đối với các dự án tiền điện tử và blockchain.

‘Tiền thưởng lỗi có hiệu lực hồi tố’ hay ‘tống tiền’ cũ kỹ?

Nhiều kẻ tấn công tiền điện tử khác đã trả lại tiền sau khi lấy chúng, chẳng hạn như trong các cuộc tấn công của Poly NetworkEuler Finance . Đó là một hiện tượng tiền điện tử độc đáo mà một số người gọi là “tiền thưởng lỗi có hiệu lực hồi tố”. Theo nguyên tắc mơ hồ, ý tưởng là những kẻ tấn công đã tìm thấy lỗ hổng trong hệ thống và số tiền chúng lấy được bằng cách nào đó là phần thưởng chính đáng cho phát hiện của chúng. Tuy nhiên, trên thực tế, những sự cố này giống như các cuộc đàm phán về con tin hơn, với việc nạn nhân hy vọng sẽ dỗ dành hoặc gây áp lực buộc kẻ tấn công phải trả lại tiền.

Tôi không tán thành việc tin tặc bắt làm con tin tài chính, nhưng với tư cách là một cựu thợ săn tiền thưởng lỗi, tôi không thể phủ nhận một sự công bằng thi vị nhất định đối với việc đó. Đã hơn một lần, tôi đã cảnh báo các công ty có chương trình thưởng về các lỗ hổng nghiêm trọng hoặc nghiêm trọng, nhưng họ lại loại bỏ hoặc bỏ qua các rủi ro trong nhiều tháng, thậm chí nhiều năm. Tôi hoàn toàn có thể hiểu được sự thất vọng có thể khiến một nhà nghiên cứu bảo mật trẻ tuổi hoặc ngây thơ trong tình huống đó chỉ đơn giản làm giàu cho bản thân bằng kiến thức của mình – kéo Breaking Bad và đi từ cảnh sát trưởng “mũ trắng” thành tên cướp ngân hàng “mũ đen”.

Xem thêm: DeFi cần hacker để không thể hack | Ý Kiến (2021)

Vấn đề cốt lõi là các dự án cung cấp tiền thưởng có nhiều động cơ để trả tiền thưởng một cách không thường xuyên và càng rẻ càng tốt. Rõ ràng là có những chi phí tài chính, nhưng bạn sẽ ngạc nhiên về mức độ thường xuyên mà một nhóm sẽ phủ nhận mức độ nghiêm trọng của lỗi được báo cáo chỉ để bảo vệ danh tiếng của chính họ, đồng thời khiến người dùng tiếp tục gặp rủi ro. Việc từ chối đó có thể có nhiều hình thức, chẳng hạn như tuyên bố lỗi “ngoài phạm vi” đối với tiền thưởng đã đăng. Đôi khi các nhà phát triển mỏng manh thậm chí sẽ đe dọa hành động pháp lý chống lại các nhà nghiên cứu đã tiếp cận họ một cách hợp lý với các lỗi nghiêm trọng.

Việc một nhà nghiên cứu bỏ ra hàng giờ đồng hồ để theo đuổi “tiền thưởng lỗi” có thể là điều vô cùng khó chịu đối với một nhà nghiên cứu để rồi bị bác bỏ hoặc thậm chí quay lưng lại với những phát hiện của họ. Làm điều gì đó mang tính phá hoại, chẳng hạn như ăn trộm nhiều tiền, thậm chí có vẻ là một cách hợp lý để đạt được kết quả khi bạn bị phớt lờ. Đó là logic méo mó đằng sau việc Avi Eisenberg cố gắng coi hành vi trộm cắp của mình là “tiền thưởng tìm lỗi” – việc mất 47 triệu USD là một động lực khá lớn để khắc phục một lỗ hổng.

Thông thường, tôi thấy các dự án blockchain phụ thuộc phần lớn hoặc thậm chí hoàn toàn vào sự kết hợp của các chương trình tiền thưởng và giám sát nội bộ về an ninh. Và đó là công thức dẫn tới thảm họa.

Sự thất vọng của một số thợ săn tiền thưởng không thể tách rời khỏi một thiếu sót khác của tiền thưởng lỗi: Họ thường mời rất nhiều người gửi không hữu ích. Đối với mỗi lỗi thực sự được báo cáo, một dự án có thể nhận được hàng chục hoặc thậm chí hàng trăm báo cáo chẳng dẫn đến đâu. Thành thật mà nói, một nhóm có thể bỏ qua các bài nộp chất lượng cao trong khi sàng lọc tất cả những thứ cặn bã đó. Nói chung, việc mò kim đáy bể tìm lỗi có thể tiêu tốn rất nhiều thời gian và sức lực của nhân viên đến mức bù đắp được khoản tiết kiệm chi phí mà một chương trình tiền thưởng dường như có thể mang lại.

Tiền thưởng phát hiện lỗi cũng có rủi ro đặc biệt đối với các dự án blockchain theo một số cách. Không giống như một ứng dụng iPhone, thật khó để kiểm tra đầy đủ một công cụ dựa trên blockchain trước khi nó thực sự được triển khai. Các dự án phần mềm chính thống thường cho phép những người săn lỗi cố gắng phá vỡ các phiên bản phần mềm tiền sản xuất, nhưng trong tiền điện tử, các lỗ hổng có thể xuất hiện từ sự tương tác của hệ thống với các sản phẩm trên chuỗi khác.

Ví dụ: vụ hack Mango của Eisenberg dựa vào các dự đoán về giá và sẽ khó hoặc không thể mô phỏng trong môi trường thử nghiệm. Điều này có thể khiến những kẻ săn tiền thưởng thử tấn công vào cùng một hệ thống nơi người dùng thực có tiền bị đe dọa – và khiến số tiền thật đó gặp rủi ro.

Tôi cũng lo lắng về thực tế là có rất nhiều chương trình tiền thưởng blockchain cho phép gửi ẩn danh, điều này hiếm hơn nhiều trong an ninh mạng chính thống. Một số thậm chí còn phân phối phần thưởng mà không cần kiểm tra danh tính; nghĩa là họ không biết họ đang trả tiền thưởng cho ai.

Xem thêm: Gọi Hack là Khai thác Giảm thiểu Lỗi của Con người | Ý Kiến (2022)

Điều này thể hiện một sự cám dỗ thực sự đáng lo ngại: các lập trình viên của dự án có thể để lại lỗi tại chỗ hoặc thậm chí đưa ra các lỗi nghiêm trọng, sau đó để một người bạn ẩn danh “tìm” và “báo cáo” lỗi. Sau đó, người trong cuộc và người săn lỗi có thể chia phần thưởng tiền thưởng, khiến dự án tốn rất nhiều tiền mà không giúp ai an toàn hơn.

Bạn cần một cảnh sát trưởng, không phải thợ săn tiền thưởng

Bất chấp tất cả những điều này, tiền thưởng phát hiện lỗi vẫn có vai trò trong bảo mật blockchain. Ý tưởng cơ bản về việc đưa ra phần thưởng nhằm thu hút rất nhiều nhân tài để thử và phá vỡ hệ thống của bạn vẫn còn vững chắc. Nhưng tôi thường xuyên thấy các dự án blockchain phụ thuộc phần lớn hoặc thậm chí hoàn toàn vào sự kết hợp giữa các chương trình tiền thưởng và giám sát nội bộ về an ninh. Và đó là công thức dẫn tới thảm họa.

Suy cho cùng, có lý do khiến những thợ săn tiền thưởng trong phim thường là những “mũ xám” mơ hồ về mặt đạo đức – hãy nghĩ đến Boba Fett, “Man With No Name” của Clint Eastwood hay Tiến sĩ King Schulz trong “Django Unchained”. Họ là những người lính đánh thuê, đến đó để nhận tiền một lần và nổi tiếng là thờ ơ với bức tranh toàn cảnh hơn về vấn đề mà họ đang giải quyết. Ở phía xa nhất của quang phổ, bạn có thể có được một Avi Eisenberg, háo hức nhận vỏ bọc “tiền thưởng lỗi” khi bản thân họ là những nhân vật phản diện thực sự.

Đó là lý do tại sao những thợ săn tiền thưởng thời xưa cuối cùng đã báo cáo với cảnh sát trưởng, người có nhiệm vụ lâu dài với những người mà anh ta đang bảo vệ và đảm bảo mọi người đều tuân thủ luật lệ. Trong thuật ngữ an ninh mạng, vai trò cảnh sát trưởng được thực hiện bởi những người đánh giá mã chuyên nghiệp – những người có danh tiếng công cộng cần bảo vệ, những người được trả tiền bất kể họ phát hiện ra điều gì. Đánh giá của một công ty bên ngoài cũng làm giảm nhẹ động lực phòng thủ sai lầm của các nhà phát triển nội bộ, những người có thể từ chối các lỗi thực sự để bảo vệ danh tiếng của chính họ. Và các chuyên gia bảo mật blockchain thường có thể thấy trước các loại tương tác tài chính đã tàn phá Mango Markets trước khi tiền thật bị đe dọa.

Nói rõ hơn, đại đa số những người săn tiền thưởng lỗi thực sự đang cố gắng làm điều đúng đắn. Nhưng họ có rất ít quyền lực trong khuôn khổ các quy tắc của hệ thống đó nên không có gì đáng ngạc nhiên khi một số người trong số họ cuối cùng đã lạm dụng những phát hiện của mình. Chúng ta không thể bình thường hóa hành vi đó bằng cách trao cho những kẻ khai thác như Avi Eisenberg con dấu phê duyệt ngụ ý bằng giải thưởng “tiền thưởng” – và các dự án thực sự quan tâm đến sự an toàn của người dùng không nên để nó rơi vào tay đám đông.

Xem thêm:Ogle bắt kẻ lừa đảo tiền điện tử

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Tin tức

JPMorgan cho biết Ether có thể tránh bị chỉ định là chứng khoán nhờ việc giảm bớt rủi ro tập trung

Để lại phản hồi

Báo cáo cho biết nền tảng đặt cược Tỷ lệ ether của nền tảng đặt cược Lido tiếp tục giảm, làm giảm mối lo ngại về sự tập trung trong mạng Ethereum.

  • JPMorgan cho biết tỷ lệ nắm giữ ether của Lido tiếp tục giảm, làm giảm bớt lo ngại về sự tập trung.
  • Báo cáo cho biết điều này làm tăng khả năng ETH sẽ không được coi là chứng khoán.
  • Token trên mạng phi tập trung đủ không còn được coi là chứng khoán.
Bật tiếng

Điều tra của tiểu bang có ý nghĩa gì đối với Ethereum?

  • 01:15
    Solana vượt qua Ethereum về khối lượng DEX

  • 02:09
    Kịch bản phim Bee gây tiếng vang trên Ethereum; Robinhood được hưởng lợi từ chu kỳ tiền điện tử ‘quái vật’

  • 01:59
    Các quỹ ETF Bitcoin giao ngay đạt kỷ lục 1 tỷ USD về dòng vốn vào ròng; Bản nâng cấp ‘Dencun’ của Ethereum đi vào hoạt động

  • 01:32
    Điều gì xảy ra với các ứng dụng ETF ETH giao ngay nếu Ether được coi là chứng khoán?

    • Nền tảng đặt cượcLidoJPMorgan (JPM) cho biết trong một nghiên cứu rằng tỷ lệ ether (ETH) đặt cược của nó tiếp tục giảm, điều này sẽ làm giảm mối lo ngại về sự tập trung trong mạng Ethereum, làm tăng khả năng ETH sẽ không được chỉ định là chứng khoán trong tương lai. báo cáo vào thứ Tư.

    Các nhà phân tích do Nikolaos Panigirtzoglou dẫn đầu đã viết: “Tỷ lệ của Lido trong ETH đặt cọc đã giảm hơn nữa từ khoảng 1/3 một năm trước xuống còn khoảng 1/4 vào thời điểm hiện tại”.

    Cáctài liệu HinmanCác nhà phân tích viết, được phát hành vào tháng 6 năm ngoái, “đã tiết lộ vai trò của phân cấp mạng trong suy nghĩ của SEC về việc liệu mã thông báo kỹ thuật số có nên được phân loại là chứng khoán hay không”.

    JPMorgan lưu ý rằng các quan chức của Ủy ban Chứng khoán và Giao dịch (SEC) trước đây đã thừa nhận rằng “mã thông báo trên mạng phi tập trung đủ không còn là chứng khoán vì không có nhóm kiểm soát theo nghĩa Howey”.

    CácKiểm tra Howeyliên quan đến vụ kiện của Tòa án Tối cao Hoa Kỳ để xác định xem một giao dịch có đủ điều kiện là hợp đồng đầu tư hay không. Nếu một giao dịch được coi là một hợp đồng đầu tư thì nó được phân loại là chứng khoán.

    Gần đâyNâng cấp DencunBáo cáo cho biết thêm “sẽ giúp Ethereum tăng cường sự thống trị của mình trước các chuỗi khối lớp 1 thay thế và lấy lại thị phần đã mất do các vấn đề về khả năng mở rộng trước đó”.

    Đọc thêm:Ethereum có thể phải đối mặt với ‘Rủi ro tiềm ẩn’ từ thị trường đặt lại bong bóng: Coinbase

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Coindesk

    Altcoin

    Giải pháp lớp 2 tăng đột biến sau khi nâng cấp Dencun. Có an toàn cho hệ thống không?

    Để lại phản hồi

    Bản nâng cấp Dencun đã mang lại lợi ích cho các giải pháp lớp 2, tuy nhiên một số chuyên gia lo ngại về độ phức tạp và rủi ro tiềm ẩn của chúng.

    Vào ngày 13 tháng 3, bản nâng cấp Dencun rất được mong đợi đã xuất hiện trên mạng chính Ethereum ( ETH ), hứa hẹn nâng cao khả năng mở rộng và giảm phí giao dịch cho mạng lớp 2 ( L2 ).

    Dencun kết hợp chín Đề xuất cải tiến Ethereum (EIP), bao gồm các khối dữ liệu thông qua EIP-4844, tinh chỉnh các lớp thực thi và đồng thuận của Ethereum.

    Nền tảng lớp 2 đã nổi lên như những người chiến thắng lớn nhất từ bản nâng cấp Dencun của Ethereum. Ví dụ: hoạt động của người dùng trên Base đã tăng lên đáng chú ý sau khi nâng cấp. Sự gia tăng này chủ yếu là do phí giao dịch của Base giảm, khiến chúng thấp hơn nhiều so với phí lớp chính của Ethereum.

    Cơ sở người dùng hoạt động hàng ngày | Nguồn: Dune

    Tuy nhiên, các báo cáo gần đây cho thấy việc giảm phí sẽ không mang lại lợi ích trực tiếp cho người dùng mạng chính Ethereum. Nếu người dùng muốn tận dụng sự thay đổi phí ngay lập tức, họ sẽ phải thỏa hiệp về mức độ phân quyền và bảo mật các giao dịch của mình bằng cách sử dụng các giải pháp L2 thay vì gắn bó trực tiếp với Ethereum.

    Phản ứng của cộng đồng đối với Dencun cũng trái chiều, một số bày tỏ sự hoài nghi về hiệu quả của các giải pháp L2.

    Một chủ đề Reddit gần đây nêu bật những lo ngại về việc sử dụng L2, tính thân thiện với người dùng và tiềm năng áp dụng của nó.

    Ngay cả người đồng sáng lập Ethereum Vitalik Buterin cũng đã lên tiếng dè dặt vào tháng 2 năm 2024, thừa nhận những rủi ro cố hữu do việc áp dụng L2 gây ra.

    Trong một loạt tweet, Buterin nhấn mạnh sự đánh đổi giữa rủi ro lỗi L1 và L2, đặt câu hỏi về khái niệm phổ biến về việc đơn giản hóa lớp 1 (L1) với chi phí cho các giải pháp L2 phức tạp.

    Ông đặt câu hỏi liệu việc làm cho L1 đơn giản hơn có thực sự đáng giá hay không khi xem xét tất cả những phức tạp và rủi ro tiềm ẩn xảy ra ở cấp độ L2.

    L2 có thực sự an toàn cho hệ thống không? Hãy cùng đi sâu vào những rủi ro này và tác động tiềm tàng của chúng đối với Ethereum và các hệ sinh thái blockchain khác.

    Tầm cao mới, rủi ro mới

    Trong những năm qua, Ethereum (L1) đã bị chỉ trích vì chậm và đắt tiền, cản trở tiềm năng đóng vai trò là lớp nền tảng cho các ứng dụng dựa trên tiền điện tử khác nhau.

    Bản nâng cấp Dencun đã nâng cao khả năng của Ethereum để hỗ trợ các giải pháp L2 hiệu quả hơn bằng cách giới thiệu các tính năng như “blobs”. Mục tiêu cuối cùng của bản nâng cấp này là đạt 100.000 giao dịch mỗi giây (TPS). Bản nâng cấp Dencun tập trung vào việc tái cấu trúc Ethereum để hỗ trợ tốt hơn các giải pháp L2 bằng cách ưu tiên khả năng mở rộng thông qua các bản tổng hợp.

    Trước khi nâng cấp, chi phí gửi ETH thông qua các đợt tổng hợp này dao động từ 0,15 USD đến 0,70 USD. Tuy nhiên, theo dữ liệu từ L2fees.info, chi phí này đã giảm xuống dưới 0,01 USD.

    Những khoản phí thấp hơn khi giới thiệu sau khi nâng cấp Dencun có thể thúc đẩy việc áp dụng nhiều hơn các ứng dụng dựa trên Ethereum theo thời gian.

    Tuy nhiên, việc áp dụng này đi kèm với một số rủi ro và sự không chắc chắn có thể cản trở sự phát triển của blockchain nếu có sự cố xảy ra.

    Nguy cơ tập trung quyền lực

    Một trong những rủi ro quan trọng nhất liên quan đến các giải pháp mở rộng quy mô L2 là khả năng tập trung hóa.

    Hãy tưởng tượng một mạng lưới phi tập trung giống như một trang web rộng lớn với sức mạnh được phân bổ trên nhiều nút. Trong một kịch bản lý tưởng, không một thực thể nào nắm giữ quá nhiều quyền kiểm soát, đảm bảo sự công bằng và minh bạch.

    Tuy nhiên, khi các giải pháp L2 phát triển, mối lo ngại ngày càng tăng là quyền lực có thể tập trung vào tay một số ít.

    Về bản chất, các thực thể được gọi là trình sắp xếp chuỗi sẽ gộp các giao dịch và vận chuyển chúng đến chuỗi khối L1 chính. Nếu chỉ một số ít thực thể kiểm soát các trình sắp xếp trình tự này, nó sẽ tạo ra một điểm lỗi duy nhất.

    Mối lo ngại này không chỉ đơn thuần là lý thuyết. Trong thực tế, nhiều mạng L2 dựa vào trình sắp xếp tập trung. Những thực thể này, dù cố ý hay không, đều có ảnh hưởng đáng kể trên mạng. Họ có thể ra lệnh giao dịch, có khả năng kiểm duyệt một số giao dịch nhất định hoặc thậm chí thao túng hệ thống để trục lợi, mở ra cơ hội lạm dụng và làm xói mòn lòng tin vào mạng.

    Sự phức tạp và rủi ro kỹ thuật

    Một rủi ro đáng kể khác liên quan đến các giải pháp mở rộng quy mô L2 là độ phức tạp. Về cốt lõi, quy mô L2 nhằm mục đích hợp lý hóa quá trình xử lý giao dịch và nâng cao khả năng mở rộng chuỗi khối. Tuy nhiên, để đạt được những mục tiêu này đòi hỏi phải vượt qua một loạt thách thức kỹ thuật.

    Một trong những vấn đề phức tạp chính nằm ở việc thiết kế và triển khai các giao thức L2. Các giao thức này chỉ ra cách xử lý và xác minh các giao dịch ngoài chuỗi trước khi chuyển sang chuỗi khối Ethereum chính. Các giao thức này đòi hỏi sự hiểu biết sâu sắc về mật mã, cơ chế đồng thuận và kiến trúc mạng.

    Hơn nữa, các giải pháp L2 có nhiều dạng khác nhau, bao gồm sidechain, kênh trạng thái và tổng hợp, mỗi dạng đều có điểm mạnh và điểm yếu riêng. Việc chọn giải pháp phù hợp đòi hỏi phải xem xét cẩn thận các yếu tố như bảo mật, khả năng mở rộng và trải nghiệm người dùng.

    Sự phức tạp không dừng lại ở giai đoạn thiết kế—nó thấm vào mọi khía cạnh của việc triển khai L2. Từ thiết lập cơ sở hạ tầng đến quản lý các nút mạng, mọi nhiệm vụ đều cần sự chú ý đến từng chi tiết. Ngay cả những sai sót nhỏ cũng có thể gây ra hậu quả sâu rộng, gây nguy hiểm cho tính bảo mật và ổn định của toàn bộ mạng.

    Hơn nữa, trải nghiệm người dùng về các giải pháp L2 có thể kém trực quan hơn và người dùng có thể gặp khó khăn khi gửi tiền và rút tiền về L1, đây là rào cản đối với việc áp dụng rộng rãi cho người dùng hàng ngày.

    Rủi ro bảo mật

    Một số giải pháp L2 không có cơ chế chống gian lận mạnh mẽ. Bằng chứng gian lận rất quan trọng để xác minh tính chính xác của các giao dịch trên L2 và cung cấp cho người dùng sự đảm bảo về an ninh quỹ. Nếu không có chúng, người dùng có thể gặp rủi ro như tấn công chi tiêu gấp đôi hoặc giao dịch không hợp lệ.

    Ngoài ra, các giải pháp L2 dựa vào các bộ xác thực và cơ chế đồng thuận riêng biệt. Sự không tương thích giữa các giao thức và công nghệ được sử dụng trong các mạng L2 khác nhau có thể tạo ra các lỗ hổng mà kẻ tấn công có thể khai thác để xâm phạm bảo mật giao dịch và tính toàn vẹn của hệ sinh thái blockchain rộng hơn.

    Điều gì đang ở phía trước

    Nhiều chuyên gia trong ngành chia sẻ sự lạc quan và thận trọng về những tác động trong tương lai của Dencun.

    Một mặt, hiệu quả tức thời của việc giảm chi phí giao dịch và tăng cường khả năng mở rộng đã được tán dương rộng rãi. Ví dụ: StarkNet nhận thấy phí giảm 99% và phí của Optimism giảm xuống chỉ còn xu.

    Tuy nhiên, các chuyên gia lo ngại về tác động lâu dài của việc nâng cấp, đặc biệt là về nhu cầu tiềm năng đối với các đốm màu, điều này có thể dẫn đến chi phí tăng trở lại và rủi ro tập trung liên quan đến các giải pháp L2.

    Để giải quyết các vấn đề tập trung này, họ đề xuất nhiều giải pháp khác nhau, bao gồm các trình sắp xếp phân cấp trực tiếp và chia sẻ. Trình sắp xếp được chia sẻ hoạt động trên nhiều mạng L2, khuyến khích khả năng tương tác và tính linh hoạt.

    Mặt khác, giải trình tự phi tập trung trực tiếp cho phép mỗi L2 hoạt động với bộ trình tự sắp xếp riêng, mang lại khả năng tùy chỉnh và tự chủ cao hơn.

    Do đó, tương lai của khả năng mở rộng và hiệu quả của Ethereum phụ thuộc vào khả năng của hệ sinh thái trong việc cân bằng lợi ích trước mắt với tính bền vững lâu dài, đảm bảo rằng những tiến bộ như Dencun tiếp tục hỗ trợ sự phát triển và khả năng tiếp cận của blockchain.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News

    Altcoin

    Trường hợp khẩn cấp lượng tử: Cuộc đua của Ethereum với thời gian

    Để lại phản hồi

    Ethereum chuẩn bị chống lại các mối đe dọa lượng tử. Cộng đồng phản ứng thế nào với đề xuất mới của Buterin và mức độ nguy hiểm thực sự như thế nào?

    Sự tiến bộ theo cấp số nhân của công nghệ điện toán lượng tử đặt ra một thách thức khó khăn đối với các nền tảng blockchain , có khả năng làm suy yếu các giao thức bảo mật hình thành nên nền tảng của các mạng này, với Ethereum ( ETH ) cũng không ngoại lệ.

    Để giải quyết mối lo ngại cấp bách này, Vitalik Buterin, người đồng sáng lập Ethereum, đã dẫn đầu các cuộc thảo luận về Nghiên cứu Ethereum, nhằm giải quyết và giảm thiểu các lỗ hổng mà điện toán lượng tử gây ra cho Ethereum.

    Đi sâu vào chiến lược của Buterin

    Buterin dự đoán trước một “trường hợp khẩn cấp lượng tử” tiềm ẩn, trong đó sự ra đời của khả năng tính toán lượng tử có thể dẫn đến hành vi trộm cắp tài sản Ethereum trên quy mô lớn.

    Để chống lại mối đe dọa sắp xảy ra này, Buterin đã đề xuất một cách tiếp cận nhiều mặt, bắt đầu bằng việc triển khai hard fork của mạng Ethereum.

    Hình dung chiến lược của Buterin bởi một thành viên cộng đồng | Nguồn: Nghiên cứu Ethereum

    Hard fork này sẽ tua lại mạng về trạng thái một cách hiệu quả trước khi xảy ra bất kỳ hành vi trộm cắp tiềm ẩn nào, yêu cầu người dùng áp dụng phần mềm ví mới được thiết kế rõ ràng để ngăn chặn các cuộc tấn công trong tương lai.

    Trọng tâm chiến lược của Buterin là việc áp dụng loại giao dịch mới được nêu trong Đề xuất cải tiến Ethereum (EIP) 7560. Loại giao dịch này tận dụng các kỹ thuật mã hóa tiên tiến, bao gồm chữ ký Winternitz và công nghệ chứng minh không có kiến thức như STARK, nhằm bảo vệ các giao dịch khỏi lượng tử. tấn công bằng cách bảo vệ khóa riêng của người dùng khỏi bị lộ.

    Hơn nữa, Buterin ủng hộ việc tích hợp tính năng trừu tượng hóa tài khoản ERC-4337 cho ví hợp đồng thông minh, tăng cường bảo mật bằng cách ngăn chặn việc lộ khóa riêng trong quá trình ký kết.

    Việc trừu tượng hóa tài khoản hoạt động như một “ví hợp đồng thông minh ”, cho phép người dùng tương tác với mạng Ethereum mà không cần sở hữu khóa riêng hoặc cần duy trì Ether để trả chi phí giao dịch.

    Trong trường hợp khẩn cấp lượng tử, người dùng chưa thực hiện giao dịch từ ví Ethereum của họ sẽ vẫn được bảo vệ vì chỉ địa chỉ ví của họ là công khai.

    Buterin cũng gợi ý rằng cơ sở hạ tầng cần thiết để ban hành hard fork được đề xuất về mặt lý thuyết có thể bắt đầu phát triển ngay lập tức.

    Phản ứng của cộng đồng

    Cộng đồng Ethereum đang tích cực thảo luận về đề xuất của Buterin về chiến lược hard fork để bảo vệ Ethereum khỏi các cuộc tấn công lượng tử có thể xảy ra. Chủ đề này đã gây được sự quan tâm và lo lắng của các thành viên.

    Mặc dù tầm quan trọng của việc chuẩn bị cho các mối đe dọa lượng tử đã được công nhận, nhưng vẫn có sự hoài nghi về mức độ hiệu quả của các biện pháp này đối với những người dùng độc hại có quyền truy cập vào điện toán lượng tử. DogeProtocol, một thành viên cộng đồng, đã đặt ra câu hỏi về việc xác định chủ tài khoản hợp pháp và kẻ tấn công trong các tình huống mà máy tính lượng tử có thể đột nhập vào ví Ethereum.

    DogeProtocol đề xuất sử dụng thuật toán tiêu chuẩn hóa NIST kết hợp với thuật toán cổ điển. Tuy nhiên, điều này có thể dẫn đến kích thước khối lớn hơn do chữ ký và kích thước khóa công khai lớn hơn trong nhiều phương pháp hậu lượng tử.

    Một thành viên khác trong cộng đồng, nvmmonkey, đề xuất một chiến lược phủ đầu. Họ đề xuất tích hợp hệ thống máy học trong mạng nút của Ethereum để phát hiện các giao dịch lớn, đáng ngờ có thể chỉ ra các hoạt động không an toàn, kích hoạt các giao thức khẩn cấp như phân nhánh mới nổi của Stark.

    Rủi ro do máy tính lượng tử gây ra cho blockchain

    Công nghệ chuỗi khối, bao gồm các loại tiền điện tử như Bitcoin và Ethereum, dựa trên các thuật toán mã hóa như Thuật toán chữ ký số đường cong Elliptic (ECDSA) để bảo mật các giao dịch và duy trì tính toàn vẹn của sổ cái phân tán.

    Tuy nhiên, các thuật toán lượng tử, đặc biệt là thuật toán Shor do Peter Shor phát triển năm 1994, gây ra mối đe dọa bằng cách giải quyết vấn đề logarit rời rạc trên các đường cong elip, vốn là cơ sở cho tính bảo mật của ECDSA.

    Khả năng này có thể cho phép máy tính lượng tử giả mạo chữ ký số và do đó kiểm soát mọi khoản tiền liên quan đến những chữ ký đó.

    Máy tính lượng tử cũng có thể làm suy yếu các hoạt động mã hóa khác trong công nghệ blockchain, bao gồm cả quá trình băm, vốn là trung tâm của việc khai thác và tạo ra các khối mới.

    Mặc dù hàm băm (ví dụ: SHA-256 trong Bitcoin) không bị phá vỡ trực tiếp bởi thuật toán của Shor, nhưng thuật toán của Grover, một thuật toán lượng tử khác, về mặt lý thuyết có thể tăng tốc quá trình tìm kiếm hình ảnh trước của hàm băm, mặc dù tốc độ tăng tốc ít ấn tượng hơn so với Shor đối với mã hóa .

    Bước nhảy vọt lượng tử: Chúng ta đã chuẩn bị chưa?

    Mặc dù các máy tính lượng tử hiện tại chưa có khả năng phá vỡ ECDSA trên quy mô thực tế nhưng tốc độ tiến bộ nhanh chóng cho thấy mối đe dọa có thể trở thành hiện thực trong vòng vài năm tới. Google có kế hoạch xây dựng một máy tính lượng tử có khả năng xử lý các phép tính khoa học và kinh doanh mở rộng mà không gặp lỗi vào năm 2029.

    IBM gần đây đã giới thiệu “IBM Quantum Heron”, bộ xử lý lượng tử tiên tiến nhất của hãng. Bộ xử lý này nổi bật nhờ hiệu suất cao và tỷ lệ lỗi thấp. IBM cũng tiết lộ IBM Quantum System Two, một máy tính lượng tử mô-đun mới. Hệ thống này, đã hoạt động ở New York, được thiết kế để giải quyết các tính toán kinh doanh và khoa học phức tạp.

    Mối đe dọa lượng tử đối với mật mã hiện tại là một thực tế được các nhà nghiên cứu thừa nhận rộng rãi. Người ta ngày càng chú trọng đến việc phát triển và triển khai các thuật toán mật mã kháng lượng tử hoặc hậu lượng tử.

    Ví dụ, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã khởi xướng một quy trình đánh giá và tiêu chuẩn hóa các thuật toán mã hóa khóa công khai kháng lượng tử. Đây có thể là những bước quan trọng để duy trì tính bảo mật và khả năng phục hồi của blockchain cũng như cơ sở hạ tầng kỹ thuật số khác trước điện toán lượng tử.

    Khi khả năng của máy tính lượng tử phát triển, sự tham gia hợp tác của các nhà nghiên cứu, nhà phát triển và nhà hoạch định chính sách sẽ trở nên cần thiết.

    Bằng cách ưu tiên phát triển và tích hợp các giải pháp mật mã kháng lượng tử, cộng đồng blockchain có thể bảo vệ thông tin nhạy cảm, duy trì niềm tin kỹ thuật số và đảm bảo khả năng tồn tại liên tục của blockchain trong kỷ nguyên lượng tử.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News

    Tin tức

    Cần đổi mới tài sản kỹ thuật số để cân bằng giữa phân cấp và bảo mật

    Để lại phản hồi

    Sự non nớt của các biện pháp kiểm soát bảo mật trong DeFi là một thách thức đối với việc áp dụng của các tổ chức. Đây là cách để giải quyết điều đó.

    Những dự báo gần đây chỉ ra rõ ràng việc tăng tốc số hóa tài chính. Ngân hàng Thanh toán Quốc tế, một hiệp hội ngân hàng trung ương, dự đoán sự gia tăng nhanh chóng của các loại tiền kỹ thuật số quốc gia (CBDC ) trong những năm tới, trong khi các cuộc khảo sát cho thấy các nhà đầu tư tổ chức đang có kế hoạch phân bổ hàng tỷ USD cho việc mã hóa tài sản .

    Nhưng sự non nớt của các biện pháp kiểm soát an ninh là một thách thức lớn đối với nhu cầu của các tổ chức.

    Công nghệ nền tảng của tài chính phi tập trung có thể được sử dụng một cách an toàn để mang lại tiềm năng thanh khoản to lớn cho việc mã hóa tài sản và vô số trường hợp sử dụng khác. Tuy nhiên, như hiện tại, có những rủi ro xuất phát từ sự phụ thuộc hoàn toàn vào các vấn đề về bảo mật và trách nhiệm giải trình của phần mềm.

    Bạn đang đọc Crypto Long & Short , bản tin hàng tuần của chúng tôi cung cấp thông tin chi tiết, tin tức và phân tích dành cho nhà đầu tư chuyên nghiệp. Đăng ký tại đây để nhận nó trong hộp thư đến của bạn vào thứ Tư hàng tuần.

    Các lỗ hổng hợp đồng thông minh đã dẫn đến tổn thất tài chính lớn cho một số nền tảng DeFi nổi bật trong quá khứ. Ví dụ: vào năm 2021, giao thức cho vay Hợp chất đã gặp phải một trục trặc mã hóa nghiêm trọng khiến khách hàng vô tình gửi hàng triệu đô la tiền điện tử. Đối với các tổ chức có lượng khách hàng lớn, trục trặc như vậy có thể dẫn đến thiệt hại đáng kể về tài chính, uy tín và uy tín.

    Đó là lý do tại sao chúng ta cần đạt được sự cân bằng giữa phân quyền và nhu cầu thể chế. Các ngân hàng và tổ chức tài chính sẽ cung cấp các “bộ giảm xóc” quy định cần thiết để mang lại sự ổn định và minh bạch về quy định cho hệ sinh thái.

    Phân cấp và vấn đề nan giải về bảo mật

    Trong khi stablecoin, chứng khoán được mã hóa và thanh toán xuyên biên giới đều là những lĩnh vực đầy hứa hẹn để đổi mới tài sản kỹ thuật số, thì rủi ro vẫn ẩn chứa bên dưới. Bối cảnh thưa thớt của các đối tác ngân hàng sẵn sàng làm việc với các công ty tiền điện tử, đặc biệt là ở Mỹ, là một vấn đề.

    Sự biến động của thị trường cũng làm tăng rủi ro lây lan giữa những người chơi trong ngành tiền điện tử có đòn bẩy quá mức. Khi các tổ chức lớn tiến sâu hơn vào không gian, các quy định quốc tế xung đột có thể đặt ra những thách thức trong việc áp dụng nếu không có sự phối hợp.

    Chúng ta có thể sẽ thấy nhiều đợt phát hành trái phiếu kỹ thuật số hơn nhưng ban đầu được chứa trong các hộp cát quy định. Trong khi đó, ranh giới giữa tài chính số hóa và tài chính truyền thống sẽ mờ dần. Việc phát triển các khung pháp lý cuối cùng sẽ cho phép các tổ chức đương nhiệm tham gia vào các hệ sinh thái giống DeFi.

    Không có trung gian trung tâm, các giao dịch diễn ra thông qua sự đồng thuận phân tán giữa các đồng nghiệp. Điều này mang lại một số lợi thế – không có điểm thất bại duy nhất, khả năng chống kiểm duyệt và khả năng phục hồi nâng cao trước các cuộc tấn công. Nhưng việc phân cấp không hề dễ dàng, đặc biệt là từ quan điểm quản trị và trách nhiệm giải trình đối với các tổ chức được quản lý, nơi an ninh là điều tối quan trọng.

    Điều đáng chú ý là ở một mức độ nào đó, phần lớn tính bảo mật của mạng phụ thuộc vào hiểu biết kỹ thuật của những người tham gia ẩn danh hơn là các chuyên gia tận tâm. Lỗ hổng bảo mật vốn có trong nhiều mạng phi tập trung này đã được nêu rõ trong năm nay khi Chuỗi quỹ đạo của Hàn Quốc mất hơn 80 triệu đô la do một vụ hack liên quan đến những người ký nhiều chữ ký bị xâm phạm hoặc khi ví của Giám đốc điều hành Ripple bị hack . Nếu các chuyên gia thường xuyên không đảm bảo an ninh, chúng ta có thể tưởng tượng được rủi ro đối với người dùng thông thường.

    Những thách thức về quy định và thể chế

    Các chuỗi khối được cấp phép hoặc riêng tư cung cấp một giải pháp. Họ giới hạn sự tham gia của các thực thể đã được kiểm duyệt và kết hợp các giao thức bảo mật tương tự như các hệ thống tập trung truyền thống. Kiểm soát truy cập chặt chẽ, triển khai nhất quán, ứng phó nhanh với mối đe dọa và tuân thủ các quy định — ít nhất đó là lời hứa. Hợp đồng giữa những người tham gia có thể xác định trách nhiệm và đảm bảo đảm bảo dịch vụ – kèm theo các hình phạt trong trường hợp vi phạm hợp đồng.

    Nhưng các hệ thống được cấp phép cũng không phải là thuốc chữa bách bệnh và nhìn chung có các chuỗi khối công khai, không được cấp phép như Ethereum.

    Trong bối cảnh thể chế được quản lý, các mạng sổ cái được cấp phép phải sử dụng hệ thống CNTT và ủy thác phân tán trên khắp các thực thể liên quan. Công nghệ phải đáng tin cậy, được bảo trì bởi nhân viên được đào tạo và được ghi chép đầy đủ. Nó cũng phải đáp ứng tốt nhu cầu của tổ chức tài chính, chẳng hạn như từ quá trình kiểm toán và kết nối mạng ngân hàng đến kiểm soát truy cập dựa trên vai trò.

    Trên các mạng được cấp phép, mức độ tin cậy và việc sử dụng công nghệ phải được phân bổ giữa các thực thể được phê duyệt. DeFi cho thấy hành động cân bằng này khó đến mức nào. Hiện tại, hoạt động đầu cơ đang lấn át việc sử dụng nền kinh tế thực. Với các quyết định chiến lược và cơ chế đồng thuận thường tập trung quyền lực, việc phân quyền có thể là một “ảo ảnh” DeFi. Những điểm nghẽn này là cơ hội để điều chỉnh trước khi rủi ro hệ thống xuất hiện.

    Định hình tương lai của blockchain trong tài chính

    Khi blockchain thâm nhập vào lĩnh vực tài chính trong những năm tới, chúng ta sẽ thấy các kiến trúc kỹ thuật đa dạng xuất hiện trên phạm vi tập trung hóa, cố gắng đạt được sự cân bằng hợp lý giữa tính mở và tính bảo mật. Nếu chúng ta áp dụng đúng công thức, blockchain có thể mang lại những lợi ích tích cực to lớn cho các tổ chức, người tiêu dùng và xã hội — hiệu quả, tính minh bạch, khả năng mở rộng, v.v.

    Chúng thậm chí có thể trông không giống các blockchain mà chúng ta thường sử dụng. Gánh nặng đặt lên vai các nhà cung cấp trong việc cung cấp các giải pháp tùy chỉnh phù hợp với nhu cầu và quy định bảo mật riêng của từng tổ chức.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Coindesk

    DeFi

    Multisig in defi: mánh lới quảng cáo tiếp thị hay giải pháp bảo mật thực sự? | Ý kiến

    Để lại phản hồi

    Multisig, viết tắt của multisignature, là một tính năng bảo mật được sử dụng rộng rãi trong các dự án tài chính phi tập trung nhằm tăng cường tính bảo mật của tài sản kỹ thuật số. Nó yêu cầu nhiều khóa riêng để ủy quyền giao dịch thay vì một khóa duy nhất, bổ sung thêm một lớp bảo mật. Multisig được coi là một cơ chế bảo mật mạnh mẽ để bảo vệ tính toàn vẹn của các dự án defi, nhưng liệu điều này có xảy ra trong các tình huống thực tế hay không vẫn còn là vấn đề tranh luận.

    Vì vậy, việc triển khai công nghệ multisig có thực sự đảm bảo an ninh hay chỉ tạo ra ảo ảnh về sự an toàn? Hãy cùng tìm hiểu.

    Các khía cạnh làm cho multisig trở thành một biện pháp bảo mật quan trọng

    Multisig đại diện cho một phương pháp bảo mật cơ bản trong không gian defi, thường đóng vai trò là chỉ báo về cam kết của dự án đối với các biện pháp bảo mật mạnh mẽ. Bằng cách yêu cầu một số chữ ký hoặc phê duyệt trước khi thực hiện giao dịch, họ giảm thiểu rủi ro truy cập trái phép hoặc các hoạt động độc hại. Các biện pháp như vậy thể hiện sự cống hiến của dự án trong việc bảo vệ tài sản của người dùng và duy trì tính minh bạch.

    Trong một môi trường mà mối quan tâm về bảo mật là tối quan trọng, việc kết hợp multisig nhấn mạnh cách tiếp cận chủ động nhằm xây dựng niềm tin trong cộng đồng defi và góp phần vào tính toàn vẹn chung của các nền tảng tài chính phi tập trung.

    Tuy nhiên, để đảm bảo ý tưởng này có hiệu quả trong thực tế, cần đặc biệt chú ý đến quá trình thực hiện và quản lý multisig. Nếu đạt được nhiều chữ ký bằng cách có ba trong số năm chữ ký trong nhóm tự quản lý dự án, thì tính năng này không khác gì một mánh lới quảng cáo tiếp thị. Trên thực tế, nhóm vẫn có 100% quyền thay đổi bất kỳ hợp đồng thông minh nào theo ý muốn.

    Để điều này trở thành một biện pháp bảo mật chính xác, việc thêm các giao dịch có độ trễ thời gian là điều hợp lý, nghĩa là phải mất một khoảng thời gian giữa đề xuất được đưa ra để quản trị và giao dịch được thực hiện.

    Điều quan trọng không kém là cần có sự đa dạng hóa giữa các bên ký kết để hạn chế phạm vi ảnh hưởng của bên này đến quyết định của bên kia. Nếu 60-70% số người ký trở lên thuộc về một nhóm duy nhất quản lý dự án, thì việc đa chữ ký này sẽ gây ra những lo ngại về bảo mật và trở nên không hiệu quả. Theo tôi, lựa chọn tốt nhất là khi một nửa số chữ ký trong multisig thuộc về những thành viên không thuộc nhóm. Đây có thể là cố vấn, thành viên cộng đồng tích cực, nhà đầu tư dự án, v.v.

    Tuy nhiên, điều đáng chú ý là việc trở thành người ký kết trong multisig là một trách nhiệm khá lớn vì những người này cần phải phản ứng khá tích cực. Nó đưa tôi trở lại quan điểm ban đầu—rằng cần phải suy tính trước rất nhiều về cách một dự án thiết lập chức năng đa chữ ký và những gì nó giám sát.

    Giải mã tính hai mặt: tác động của khả năng nâng cấp hợp đồng thông minh đến bảo mật

    Khi thảo luận về bảo mật defi và multisig, cần đưa ra chủ đề về khả năng nâng cấp hợp đồng thông minh.

    Khả năng nâng cấp cho phép các nhà phát triển thích ứng với các điều kiện thị trường thay đổi, tạo điều kiện nhanh chóng cho việc triển khai các bản sửa lỗi và bản vá bảo mật, đồng thời thêm các chức năng mới mà không yêu cầu người dùng chuyển sang hợp đồng mới. Tính linh hoạt và nhanh chóng này rất quan trọng đối với bản chất đang phát triển của không gian defi vì việc chuyển sang một hợp đồng mới đòi hỏi rất nhiều sự phức tạp và thách thức.

    Mặc dù khả năng nâng cấp có thể mang lại sự linh hoạt và khả năng sửa lỗi hoặc thêm các tính năng mới, nhưng nó cũng đưa ra những cân nhắc nhất định và các rủi ro bảo mật tiềm ẩn. Multisig có thể đưa ra một giải pháp khả thi cho vấn đề này, miễn là tất cả các hợp đồng, dù có thể nâng cấp hay không, đều được giám sát bởi multisig. Lý tưởng nhất là các hợp đồng sẽ bao gồm nhiều nhóm và thành viên cộng đồng đa dạng và sẽ có sự liên lạc chặt chẽ về mọi hành động, do đó không có phạm vi cho những thay đổi trái phép.

    Có thể đảm bảo multisig được phân cấp thực sự không?

    Hiệu quả của multisig phụ thuộc rất nhiều vào sự đa dạng của các đội. Việc đảm bảo rằng multisig được cộng đồng và các cố vấn kiểm soát thực sự, không chỉ nhóm dự án, đòi hỏi sự kết hợp giữa các cơ chế quản trị, tính minh bạch và các biện pháp bảo mật.

    Các dự án cần triển khai mô hình quản trị phi tập trung cho phép sự tham gia của các thành viên cộng đồng, cố vấn và các bên liên quan khác trong multisig. Sự phân cấp này giảm thiểu nguy cơ xảy ra lỗi ở một điểm duy nhất, khiến các tác nhân độc hại khó xâm phạm hệ thống hơn thông qua một mục tiêu duy nhất, chẳng hạn như nhóm dự án bị tấn công hoặc thực hiện thao tác kéo thảm do có toàn quyền kiểm soát hệ thống. Như thế này, cộng đồng có tiếng nói trong việc xác minh tính bảo mật và tính toàn vẹn của multisig.

    Một cách để đạt được điều này là thu hút sự tham gia của những người lãnh đạo quan điểm chính (KOL) trong dự án, những người được kết nối với nhau và tham gia tích cực vào quá trình. Nhiều KOL sử dụng địa chỉ ENS được liên kết công khai với họ (và đề cập đến chúng trên Twitter (X) về nguyên tắc là duy nhất và có thể được sử dụng cho nhiều chữ ký. Quá trình này hoạt động vì KOL về mặt kỹ thuật sở hữu địa chỉ và đóng vai trò xác minh của họ. Thật không may, điều này không phải là một phương pháp phổ biến—vì không phải ai cũng thích ENS, nếu không thì cá nhân tôi chỉ thấy phương pháp này được áp dụng trong một số dự án lớn hơn.

    Thực hiện là chìa khóa

    Multisig rất phổ biến trong các dự án defi vì tính linh hoạt và khả năng giảm thiểu rủi ro của nó. Tuy nhiên, tất cả đều phụ thuộc vào phần thực hiện của nó. Hoạt động này dựa vào nỗ lực phối hợp của nhiều bên ký kết để xác thực và thực hiện các giao dịch.

    Nếu có sự gián đoạn trong giao tiếp giữa chúng, điều đó có thể dẫn đến sự chậm trễ, hiểu lầm hoặc thậm chí là các quyết định mâu thuẫn nhau, khiến hệ thống có thể bị khai thác. Tất cả các bên ký kết cần phải thống nhất ý kiến, hiểu mục đích đằng sau các giao dịch và có thể phản hồi kịp thời mọi mối đe dọa bảo mật tiềm ẩn hoặc hoạt động đáng ngờ.

    Thật không may, đây không phải là điều dễ dàng đạt được—khá nhiều vấn đề cần được giải quyết trước tiên, điều đó có nghĩa là đa chữ ký là một phương pháp bảo mật tốt; chúng không phải là loại thuốc chữa bách bệnh có thể tin cậy mà không cần đặt trước.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News

    Công nghệ

    Các blockchain nhanh có phải hy sinh tính bảo mật không? Bộ ba bất khả thi của blockchain

    Để lại phản hồi

    Mặc dù sự đánh đổi là không thể tránh khỏi, nhưng các chuyên gia được crypto.news phỏng vấn tin rằng bộ ba bất khả thi của blockchain sẽ làm sáng tỏ những thách thức mà các nhà phát triển phải đối mặt và cách giải quyết chúng.

    Bộ ba bất khả thi về blockchain, do người đồng sáng lập Ethereum Vitalik Buterin đặt ra vào năm 2017, nêu bật những thách thức mà các nhà phát triển phải đối mặt trong việc tạo ra các hệ thống sổ cái phân tán. Theo Buterin, các kiến trúc sư phải cân bằng và ưu tiên hai trong số ba tính năng chính.

    Trong một cuộc phỏng vấn với crypto.news, Luke Nolan, cộng tác viên nghiên cứu tại CoinShares, đồng tình với quan điểm này. Nolan tin rằng, theo nghĩa rộng, bộ ba bất khả thi của blockchain minh họa một cách hiệu quả thách thức đạt được cả ba tính năng ở mức tối đa. Ông nhấn mạnh rằng các nhà phát triển thường hy sinh một số khía cạnh hoặc cả hai khi tối ưu hóa một tính năng.

    Bộ ba bất khả thi của blockchain

    Alex Dulub, Người sáng lập Web3 Antivirus, gợi ý rằng việc tăng tốc blockchain đôi khi có thể ảnh hưởng đến sự an toàn của nó. Ông tin rằng các giải pháp như mạng Lớp 2 (L2) và chuỗi bên, xử lý các giao dịch bên ngoài chuỗi khối chính, có thể tăng tốc độ và khả năng mở rộng nhưng có thể gây ra những rủi ro mới.

    Dulub cho rằng lỗi hợp đồng thông minh, rủi ro tập trung và các cuộc tấn công tiềm ẩn là những lỗ hổng chính đối với các blockchain nhằm cải thiện cả ba khía cạnh.

    Neville Grech, người sáng lập Dedaub, một công ty bảo mật blockchain, chỉ ra rằng việc tăng các tham số như kích thước khối và tần số để nâng cao tốc độ có thể đòi hỏi nhiều sức mạnh tính toán, băng thông và dung lượng lưu trữ hơn mức mà các nút trung bình có thể xử lý. Điều này có thể dẫn đến một cấu trúc mạng tập trung hơn, chỉ có một số nút tham gia đầy đủ vào chuỗi khối.

    Mặc dù việc điều chỉnh quy trình xác thực có thể tăng tốc mạng, Grech cảnh báo rằng “nó có thể khiến blockchain gặp các lỗ hổng và tranh chấp xác thực, đồng thời tạo ra các nhánh tạm thời”.

    Hơn nữa, theo ông, việc giảm sự tham gia của các nút và trình xác thực trong quá trình xác minh có thể ảnh hưởng đến tính phân cấp của mạng và tính toàn vẹn của chuỗi khối.

    Để minh họa, mạng Bitcoin, mặc dù được phân quyền và bảo mật với hơn một triệu công cụ khai thác BTC trên toàn thế giới, vẫn xử lý trung bình 8,35 giao dịch mỗi giây (TPS). Con số này thấp hơn đáng kể so với các công ty chuyển tiền tập trung như Visa, vốn có phạm vi TPS từ 1.500 đến 2.000.

    Dữ liệu TPS chuỗi khối | Nguồn: Chainspect

    Ngược lại, blockchain của Zcash thường hoạt động ở tốc độ trung bình 26 giao dịch mỗi giây (TPS) đối với các giao dịch không được bảo vệ. Tuy nhiên, một báo cáo vào tháng 9 năm 2023 đã tiết lộ rằng hơn 50% tỷ lệ băm của Zcash được kiểm soát bởi nhóm khai thác ViaBTC, khiến mạng có nguy cơ bị tấn công 51% .

    Lấy Solana ( SOL ) làm ví dụ khác, tự hào với TPS thời gian thực hiện tại là 772, theo dữ liệu của Chainspect. Mặc dù phải đối mặt với lần ngừng hoạt động lớn thứ 10 vào tháng 2 năm 2023, mạng đã chứng tỏ tính ổn định cao kể từ đó.

    Trong báo cáo ngày 21 tháng 7 năm 2023, Solana Foundation đã tuyên bố chuỗi khối Solana có 100% thời gian hoạt động. Thành tựu này đạt được nhờ sự cải thiện về tỷ lệ giao dịch có quyền biểu quyết và không biểu quyết.

    Trong trường hợp này, Luke Nolan, một cộng tác viên nghiên cứu tại CoinShares, chỉ ra rằng sự đánh đổi chính được thực hiện là sự phân cấp và theo ông, “bảo mật đã đạt được sự đánh đổi tối thiểu hơn”.

    Ông nhấn mạnh rằng chi phí để chạy trình xác thực Solana có thể khá cao, dao động trong khoảng từ 3.000 đến 5.000 USD. Chi phí cao này khiến công chúng vận hành trình xác nhận Solana trở nên tốn kém, gây ra rủi ro tập trung.

    Yêu cầu phần cứng để chạy nút Solana | Nguồn: Phòng thí nghiệm Solana

    Theo dữ liệu của Solana Compass, Solana hiện có tổng cộng 2.919 nút với hơn 433.000 staker. Số lượng nút của mạng đã giảm đáng kể kể từ tháng 3 năm 2023 sau khi đạt mức cao nhất mọi thời đại (ATH) là 2.564 nút hoạt động.

    Mặc dù số lượng nút Ethereum đã liên tục giảm kể từ giữa tháng 1, hiện ở mức khoảng 7.000, nhưng nó vẫn cao hơn 2,4 lần so với các thiết bị điều hành của Solana.

    Con số này là hợp lý vì các nút Ethereum yêu cầu yêu cầu phần cứng thấp hơn so với Solana và có giá từ 500 đến 1.000 USD. Ngoài ra, số lượng người đặt cược Ethereum cũng cao hơn đáng kể so với Solana – hiện mức hơn 921.000.

    Yêu cầu phần cứng để chạy nút Ethereum | Nguồn: Ethereum.org

    Nolan cũng đề cập rằng hiện tại Ethereum đã gác lại ý tưởng mở rộng quy mô Lớp 1 (L1) để tránh ảnh hưởng đến tính phân cấp hoặc bảo mật. Hiện tại, Ethereum xử lý trung bình khoảng 13 giao dịch mỗi giây (TPS), với TPS được ghi nhận cao nhất đạt 62,34.

    “Nhìn chung, tôi sẽ không nói số lượng trình xác thực là thước đo phân cấp số 1, nhưng từ quan điểm triết học, bạn có thể chạy một nút Ethereum với giá rất rẻ, giúp phát triển chuỗi ngay cả khi không cần đặt cọc 32 ETH — mặc dù tất nhiên, bạn sẽ không kiếm được gì cả.”

    Luke Nolan nói với crypto.news.

    Các giải pháp

    Để chứng minh rằng bộ ba bất khả thi của blockchain không phải là một quy tắc không thể phá vỡ, các công ty đang giới thiệu các giải pháp sáng tạo thách thức quan điểm cho rằng tốc độ và tính bảo mật luôn mâu thuẫn với nhau. Hãy cùng khám phá một số giải pháp hàng đầu nhằm cân bằng khả năng mở rộng, bảo mật và phân cấp.

    • Mạng L2 : Các giải pháp này tăng cường chuỗi khối Lớp 1 bằng cách tăng tốc độ giao dịch, cắt giảm phí và nâng cao khả năng mở rộng tổng thể. L2 cho phép chuỗi chính tập trung vào bảo mật và phân cấp, trong khi mạng Lớp 2 xử lý khả năng mở rộng và hiệu quả. Về mặt kỹ thuật, chuỗi khối L2 kế thừa tính bảo mật của mạng L1.
    • Thay đổi cơ chế đồng thuận : Các cơ chế đồng thuận mới, chẳng hạn như các biến thể Proof of Stake (PoS), nhằm mục đích cân bằng giữa bảo mật và tốc độ mà không có sự thỏa hiệp lớn. Việc chuyển đổi từ Proof of Work (PoW) sang PoS có thể là một cách quan trọng để tăng thông lượng giao dịch đồng thời giảm phí xử lý.
    • Segregated Witness (SegWit) : Được triển khai bằng Bitcoin vào năm 2017, SegWit mở rộng quy mô thông lượng chuỗi khối bằng cách tách chữ ký giao dịch khỏi dữ liệu giao dịch và lưu trữ chúng theo cách khác. Sự tách biệt này cải thiện hiệu quả không gian, hợp lý hóa việc xác minh và giảm kích thước tổng thể của hồ sơ giao dịch.
    • Sharding : Các kỹ thuật như sharding phân phối xử lý giao dịch trên các nhóm nút nhỏ hơn, tăng tốc độ trong khi vẫn duy trì tính bảo mật. Ví dụ: chuỗi khối Harmony sử dụng sharding và hiện đạt được thời gian cuối cùng là hai giây, trong khi Thời gian đến đích (TTF) của Solana là khoảng 12,8 giây.
    • Bản cuộn :
      • Bản tổng hợp không có kiến thức ( zk-rollups ) : Các bản tổng hợp này tập hợp hàng trăm giao dịch ngoài chuỗi và tạo ra bằng chứng mật mã, được gọi là bằng chứng không có kiến thức .
      • Tổng hợp lạc quan : Chúng hoạt động dựa trên giả định rằng các giao dịch hợp lệ theo mặc định. Họ chỉ thực hiện tính toán trên chuỗi khối Lớp 1 (L1) trong trường hợp có tranh chấp. Điều này gây ra sự chậm trễ cuối cùng trong việc xác minh tính hợp pháp của các giao dịch trước khi chúng đến mạng L1. Nếu một giao dịch được phát hiện là không hợp lệ, nó có thể được khôi phục để ngăn chặn mọi hậu quả tiêu cực.

    Phần kết luận

    Các chuỗi khối nhanh không trực tiếp hy sinh tính phân cấp và bảo mật; thay vào đó, bộ ba bất khả thi về blockchain làm sáng tỏ những thách thức mà các nhà phát triển phải đối mặt và những sự đánh đổi thường xuyên mà họ phải giải quyết.

    “Tóm lại, trong khi tốc độ thường đặt ra những thách thức phải đánh đổi bằng bảo mật, thì sự đổi mới không ngừng của cộng đồng blockchain có thể cung cấp một số giải pháp. Đó không chỉ là việc lựa chọn giữa tốc độ và bảo mật; đó là về kỹ thuật blockchain một cách thông minh để cân bằng cả hai.”

    Neville Grech nói với crypto.news.

    Dulub nhấn mạnh rằng “thiết kế cẩn thận, thử nghiệm nghiêm ngặt và nghiên cứu liên tục là chìa khóa để quản lý các thách thức” liên quan đến bộ ba bất khả thi của blockchain.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News

    Công nghệ

    Nexo nhận được các chứng nhận quan trọng về quyền riêng tư và bảo mật đám mây

    Để lại phản hồi

    Nexo, một công ty tài sản kỹ thuật số, đã đạt được chứng chỉ ISO 27017 và ISO 27018. Các chứng nhận này được xây dựng dựa trên việc tuân thủ ISO 27001 hiện có của Nexo để nâng cao hơn nữa tính bảo mật và quyền riêng tư cho dữ liệu khách hàng.

    Trong thông cáo báo chí được chia sẻ với crypto.news, tiêu chuẩn ISO 27017 và 27018 áp dụng cụ thể cho môi trường điện toán đám mây.

    Khi việc sử dụng dịch vụ đám mây ngày càng tăng trong hệ sinh thái tiền điện tử, những chứng nhận này thể hiện cam kết của Nexo trong việc bảo vệ dữ liệu và quyền riêng tư của người dùng.

    ISO 27017 mở rộng các biện pháp kiểm soát bảo mật thông tin từ ISO 27001 lên đám mây.

    Trong khi đó, ISO 27018 đưa ra các nguyên tắc bảo mật đối với thông tin nhận dạng cá nhân được lưu trữ trên đám mây.

    Cùng với nhau, các chứng nhận nhấn mạnh các biện pháp bảo vệ dữ liệu và bảo mật mạnh mẽ của Nexo.

    Bình luận, giám đốc an ninh của Nexo, Milan Velev, cho biết:

    “Việc Nexo tích hợp các tiêu chuẩn ISO về bảo mật thông tin và quyền riêng tư đánh dấu một bước tiến quan trọng trong hành trình thiết lập các tiêu chuẩn mới trong tài chính kỹ thuật số của chúng tôi. Chúng tôi không chỉ tuân thủ các tiêu chuẩn quốc tế; chúng tôi làm gương, ưu tiên bảo mật và quyền riêng tư của khách hàng trong mọi khía cạnh hoạt động của chúng tôi.”

    Cơ quan chứng nhận toàn cầu RINA đã cấp các danh hiệu uy tín sau cuộc kiểm toán độc lập. Họ xây dựng dựa trên hồ sơ theo dõi của Nexo về việc tuân thủ các giao thức bảo mật nghiêm ngặt và tính minh bạch trong lĩnh vực tài sản kỹ thuật số.

    Các cuộc kiểm toán trước đó cho thấy Nexo tuân thủ các yêu cầu SOC 2 Loại 2 dành cho các công ty dịch vụ tài chính. Công ty cũng có Chứng chỉ CSA STAR Cấp 1 .

    Đối với Nexo, bảo mật mạnh mẽ luôn là ưu tiên hàng đầu vì công ty đặt mục tiêu thiết lập các tiêu chuẩn của ngành.

    Tin tức gần đây cũng tiết lộ rằng Nexo đang đòi Bulgaria bồi thường 3 tỷ USD vì một cuộc điều tra hình sự bị hủy bỏ mà công ty cáo buộc đã làm thất bại kế hoạch niêm yết trên thị trường chứng khoán Hoa Kỳ và một hợp đồng tài trợ bóng đá.

    Theo hồ sơ pháp lý, Nexo AG, một đơn vị Thụy Sĩ của Nexo Capital có trụ sở tại Quần đảo Cayman, cáo buộc cuộc điều tra đã làm hoen ố danh tiếng của công ty và phá hủy giá trị cổ đông.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News

    Altcoin

    Đề xuất mới của Vitalik Buterin sẽ cắt giảm tính bảo mật của Ethereum

    Để lại phản hồi

    Trong một đề xuất gây tranh cãi mới, Vitalik Buterin đề xuất giảm số lượng trình xác nhận PoS từ gần 1 triệu xuống chỉ còn 8.192 để giảm độ phức tạp.

    Trong một đề xuất mới được đưa ra vào ngày 27 tháng 12, người đồng sáng lập Ethereum ( ETH ) Vitalik Buterin đã vạch ra kế hoạch đơn giản hóa đáng kể hệ thống bằng chứng cổ phần ( PoS ) của Ethereum để giảm độ phức tạp và mở rộng khả năng thiết kế.

    Hệ thống PoS hiện tại cố gắng hỗ trợ phân cấp bằng cách cho phép nhiều trình xác nhận – hiện tại là gần 900.000. Tuy nhiên, Buterin lập luận rằng điều này tạo ra sự phức tạp, hy sinh và hạn chế đáng kể trong khi vẫn chưa đạt được đầy đủ mục tiêu về khả năng tiếp cận cổ phần quy mô nhỏ do yêu cầu tối thiểu 32 ETH.

    Thay vào đó, Buterin đề xuất giảm số lượng chữ ký trên mỗi vị trí xuống chỉ còn 8.192 so với kế hoạch hiện tại là hơn 1,7 triệu. Điều này sẽ cho phép đơn giản hóa đáng kể trên Ethereum, giúp việc chuyển đổi sang kháng lượng tử dễ dàng hơn nhiều và duy trì chi phí cho các cuộc tấn công trong khoảng 1-2 triệu ETH – mà Buterin đề xuất là đủ cao:

    Ngay cả chi phí tấn công 1-2 triệu ETH cũng là hoàn toàn đủ.

    Vitalik Buterin

    Nhà phát triển Micah Zoltu đã bình luận về đề xuất này, lưu ý rằng chi phí tấn công này có thể không đủ. Theo ông, nhiều tác nhân từ chối loại tài nguyên này và sớm hay muộn có thể quay lưng lại với giao thức:

    Có rất nhiều chính phủ trên thế giới chi số tiền đó cho một tên lửa hoặc một chiếc máy bay. Chúng ta nên thiết kế những hệ thống có khả năng chống chịu trước những kẻ tấn công nhà nước, những kẻ sẵn sàng chi tiền để hủy hoại ngày của bạn.

    Mặc dù 1-2 [triệu] ETH có thể đủ để ngăn chặn họ tấn công, nhưng chúng tôi có bằng chứng cho thấy họ sẽ chi nhiều hơn thế để đạt được mục tiêu của mình và nhiều chính phủ dường như đang đi theo hướng “tiêu diệt tiền điện tử” như một trong những mục tiêu của họ

    Tất nhiên, tôi cũng không thể nói rằng 9 [triệu] ETH là đủ, hoặc có thể cả hai trên thực tế là quá đủ! Tuy nhiên, tôi không nghĩ điều đó rõ ràng như bạn ám chỉ rằng chúng ta có thể giảm ngân sách bảo mật một cách an toàn. Lindy không áp dụng cho những điều này, bởi vì mọi thứ sẽ ổn cho đến khi nó không ổn, rồi đột nhiên mọi chuyện trở nên rất, rất tệ.

    Micah Zoltu

    Phần cuối của tuyên bố đề cập đến Hiệu ứng Lindy, lý thuyết cho rằng tuổi thọ trong tương lai của một số thứ không thể bị hư hỏng như công nghệ hay ý tưởng tỷ lệ thuận với tuổi hiện tại của chúng, vì vậy những thứ đã tồn tại từ lâu sẽ có giá trị hơn. có khả năng tồn tại lâu hơn.

    Trong bối cảnh này, khi Zoltu tuyên bố, “Lindy không áp dụng cho những điều này”, anh ấy lập luận rằng chỉ vì mức độ bảo mật cao của Ethereum cho đến nay là đủ, điều đó không có nghĩa là nó nhất thiết sẽ tiếp tục đủ.

    Buterin phác thảo ba cách tiếp cận tiềm năng để làm cho sơ đồ chữ ký giảm này hoạt động: dựa hoàn toàn vào nhóm đặt cược phi tập trung, sử dụng hệ thống hai tầng với yêu cầu đặt cược nhẹ hơn và nặng hơn hoặc luân phiên tham gia giữa các vị trí để duy trì trách nhiệm giải trình.

    Đề xuất này đã thu hút được nhiều bình luận từ các nhà phát triển như Zoltu, người đặt câu hỏi liệu chi phí tấn công 1-2 triệu ETH giảm có đủ để ngăn chặn những kẻ tấn công cấp nhà nước hay không. Buterin thừa nhận đây là một lời phê bình công bằng và chi phí tối ưu vẫn chưa rõ ràng.

    Cuộc tranh luận sắp tới xung quanh vấn đề này và các đề xuất PoS khác có thể sẽ sôi động hơn bao giờ hết trong cộng đồng Ethereum.

    Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
    Theo Crypto News