Web3 hứa hẹn mở ra một kỷ nguyên mới về quyền riêng tư và bảo mật, nhưng một loạt các vụ hack lớn gần đây lại biến lời hứa đó thành một lời nói dối.
Chúng ta kỳ vọng Web3 sẽ mang lại tất cả những gì được yêu thích trên Internet, nhưng cần riêng tư hơn và dựa trên nền tảng blockchain để giữ cho dữ liệu an toàn hơn trước.
Trên lý thuyết là như vậy, nhưng trong thực tế, hiện tại Web3 đang trở thành cơn ác mộng bảo mật khi hàng loạt vụ hack gần đây khiến một số người tự hỏi liệu họ có nên chuyển hết tiền và dữ liệu của mình cho Mark Zuckerberg luôn hay không.
Thảm họa bảo mật mới nhất liên quan đến tựa game play-to-earn Axie Infinity, trò chơi được cho là điển hình mà Web3 hướng tới. Dành cho những bạn bỏ lỡ thông tin về vụ việc, tin tặc đã đột nhập vào “cầu nối” Ronin giữa Axie và chuỗi khối Ethereum và đánh cắp 552 triệu đô vào thời điểm đó (hiện trị giá 630 triệu đô, kể từ khi ETH tăng giá) – một số tiền khổng lồ ngay cả trong thời kì thịnh vượng hiện tại của tiền điện tử.
Điều đáng kinh ngạc hơn nữa là diễn biến của vụ tấn công. Theo lý giải của kỹ sư Molly White, đội ngũ Axie đã thiết lập cầu nối bằng cách chỉ cần 9 node xác thực đáng tin cậy – có nghĩa là một hacker chỉ cần xâm nhập 5 tài khoản là thành công. Và đó là toàn bộ những gì đã xảy ra. Tệ hơn nữa, phải mất đến sáu ngày để nhóm Axie phát hiện rằng số tiền trị giá 630 triệu đô la Ethereum bị cướp và thông báo cho người dùng biết số tiền của họ hiện đã không cánh mà bay.
Nếu một nhóm bảo mật tại một ngân hàng hoặc một công ty Web2 xử lý như vậy, họ sẽ bị sa thải và phải đối mặt với cáo buộc dân sự hoặc thậm chí là sơ suất hình sự.
Nhưng vì là Web3 nên ban lãnh đạo Axie chỉ đưa ra những lời biện minh mơ hồ về tác động của vụ việc đáng xấu hổ này. (Người sáng lập Axie, Jeff Zirlin, đã đăng tải một tweet vào thứ Ba như sau: “Thật là một ngày khó khăn” và một tweet khác vào hai giờ sau đó: “Đây là lúc cho mọi người thấy chúng tôi đã làm được gì.”)
Theo quan sát kỹ lưỡng từ Matt Levine – chuyên gia tư vấn của Bloomberg, “Chính những người phát triển các dự án tiền điện tử đặt rất ít sự quan tâm đến bảo mật thông tin hơn ai hết.”
Sự cố của Axie cũng không phải mới xảy ra lần đầu. Hai tháng trước, tin tặc đã cướp Wormhole, một cầu nối phổ biến với chuỗi khối Solana, giá trị lên đến 320 triệu đô. May mắn thay cho người dùng, các nhà đầu tư mạo hiểm bên ngoài Wormhole đã dự cảm chính xác và quyết định ngăn chặn tổn thất ngay cả khi những người chịu tất cả trách nhiệm chỉ biết nhún vai. Tuần trước, 28 triệu đô bị rút khỏi Cashio của giao thức stablecoin Solana. Tháng 8 năm ngoái, Poly Network bị hack hơn 600 triệu USD.
Còn rất nhiều ví dụ khác về việc người dùng Web3 bị cướp vì nền tảng họ sử dụng có đầy rẫy lỗ hổng bảo mật.
Trong khi đó, hơn hai mươi công ty Web3, bao gồm Circle và BlockFi, tiết lộ vào tháng trước rằng họ đã bị tấn công kiểu Web2. Trong trường hợp này, tin tặc đã xâm nhập một trong những nhà cung cấp dịch vụ tiếp thị của các công ty này và lấy đi một lượng lớn dữ liệu khách hàng đã được sử dụng, nhằm thực hiện các chiến dịch lừa đảo và các trò gian lận khác.
Cứ đà này, Web3 có nguy cơ kế thừa các lỗi bảo mật tồi tệ nhất của internet trước đó nhưng phải chịu trách nhiệm giải trình. Ít nhất các ngân hàng lớn có bảo hiểm để bảo vệ khách hàng khi họ bị cướp, hay các công ty công nghệ lớn triển khai các đội bảo mật tinh vi để bảo vệ dữ liệu của họ. Ngược lại, nhiều tên tuổi Web3 hàng đầu lại tập trung vào việc làm giàu bẩn thỉu bằng cách bán token mà không đưa ra thông tin về người dùng còn lại để tự mình điều hướng bối cảnh săn mồi.
Đổ xô đi tìm token đã khiến nhiều người quên mất các giá trị ban đầu đã tạo nên tiền điện tử, bao gồm việc xây dựng kiến trúc an toàn và ghi nhớ “bộ ba bất khả thi của blockchain” của người sáng lập Ethereum – Vitalik Buterin. Ông cho rằng để đạt được hai trong ba mục tiêu khi nhắc đến phân quyền, quy mô và bảo mật thì dễ nhưng lại rất khó để đạt được cả ba. Vitalik cũng đã lên tiếng về các cây cầu hồi tháng 1, cảnh báo rằng chúng chỉ đơn giản là không an toàn như các dự án Layer 1 như Ethereum hoặc Bitcoin.
Và nói về Bitcoin, đây là một dịp mà thế giới Web3 rộng lớn nên xem xét học hỏi từ những người theo chủ nghĩa tối đa Bitcoin. Mặc dù đáng lo ngại, nhưng họ đã đúng khi cho rằng chưa từng có gì được thử nghiệm mà an toàn hơn blockchain Bitcoin – một trong những lý do chính khiến Satoshi vẫn là loại tiền điện tử có giá trị nhất thế giới. Những người sáng lập Web3 nên dành nhiều thời gian hơn để xây dựng các dự án của họ theo cách tương tự, thay vì vội vàng thu về token lợi nhuận. Nếu không, Web3 có nguy cơ mất đi chút tín nhiệm mới gây dựng.
Nguồn: Decrypt
