Tiền ảo và các phần mềm được phát triển để theo dõi tiền ảo đã trở thành mục tiêu hấp dẫn cho tội phạm mạng đồng thời cũng tạo ra một thị trường mới mẻ cho các công ty về bảo mật máy tính.
Theo ông Lex Sokolin, Giám đốc toàn cầu về chiến lược Fintech tại công ty nghiên cứu Autonomous Research LLP, chưa đầy một thập kỷ qua, tin tặc đã đánh cắp 1,2 tỷ USD giá trị đồng Bitcoin và đồng Ether (Ethereum). Với sự bùng nổ của các loại tiền mật mã vào cuối năm 2017, chi phí này còn cao hơn nhiều.
"Dường như việc tấn công lấy cắp tiền mật mã là một nghề làm ăn với doanh thu hàng năm trị giá 200 triệu USD", Sokolin nói. Các hacker đã xâm nhập vào nguồn cung Bitcoin và Ether cỡ hơn 14%, ông nói.
Theo Susan Eustis, Giám đốc điều hành của WinterGreen Research, việc tấn công phá hoại liên quan đến tiền ảo như Bitcoin đã khiến các công ty và chính phủ phải chi phí 11,3 tỷ USD qua việc mất nguồn thuế từ việc bán đồng coin và các giao dịch bất hợp pháp. Hệ sinh thái blockchain - "sổ cái phân tán" phi tập trung được dùng để theo dõi các giao dịch tiền mật mã - cũng bị tấn công.
Những tổn thất này có thể sẽ bùng nổ khi nhiều công ty và nhà đầu tư đổ xô vào thị trường tiền ảo nóng bỏng mà không cân nhắc tới những nguy hiểm hoặc thực hiện các bước để tự bảo vệ mình.
Siêu an toàn?
Các hồ sơ blockchain được chia sẻ, làm cho chúng khó thay đổi, vì vậy một số người dùng nhìn nhận như thế là là siêu an toàn. Nhưng bằng nhiều cách, các hồ sơ blockchain này cũng không an toàn hơn bất kỳ phần mềm nào khác, Matt Suiche, người điều hành công ty bảo mật Blockchain Comae Technologies cho biết trong một cuộc phỏng vấn qua điện thoại.
Vì thị trường còn non trẻ, các blockchains thậm chí có nhiều điểm yếu hơn các phần mềm khác. Có hàng ngàn điểm yếu, mỗi điểm yếu đều có lỗi riêng. Phải cần thời gian cho đến khi lĩnh vực này được đánh giá là có những điểm yêu thích, như đã từng xảy ra đối với các trình duyệt web, bảo đảm tất cả những cái đó sẽ là một thách thức.
"Mỗi việc triển khai sẽ có những vấn đề riêng của nó," Suiche nói. "Càng triển khai nhiều thì càng khó khăn hơn."
Blockchains có thể theo dõi thông tin định danh, các hồ sơ tài sản và thậm chí cả chìa khóa xe kỹ thuật số, mà không chỉ tiền mật mã. Nhưng tất nhiên, chúng cũng làm như vậy, và đánh cắp Bitcoins có thể được chuyển đổi thành tiền mặt.
Theo Andras Cser, một nhà phân tích của Forrester Research thì khi tấn công thâm nhập vào một blockchain có thể khó hơn so với việc đột nhập vào cơ sở dữ liệu của hãng bán lẻ, nhưng "phần thưởng sẽ lớn hơn" . "Bạn có nhiều thông tin hơn để có thể ăn cắp."
Khai thác các phân nhánh (Forks)
Nhiều blockchains bắt đầu bởi sự phân nhánh tách ra từ các sổ cái tiền mật mã hiện tại, và như các nhà nghiên cứu bảo mật Đài Loan đã chỉ ra, mọi phân nhánh đều cho tin tặc một cách mới để cố làm sai lệch dữ liệu.
Trong một bài báo ngày 25/12, các nhà nghiên cứu tại Viện kỹ nghệ Điện và Điện tử (IEEE) đã phác thảo cách thức các hacker có thể sử dụng cùng một Bitcoin hai lần, mọi thứ blockchain sự thật là để ngăn chặn. Ví dụ như trong một Cuộc tấn công Cân bằng (Balance Attack), tin tặc sẽ trì hoãn giao tiếp mạng giữa các nhóm máy đào (miners), những máy tính dùng để kiểm tra các giao dịch blockchain, để cho phép chi tiêu hai lần (double spending).
Các nhà nghiên cứu của IEEE cho biết: "Chúng tôi không có bằng chứng cho thấy các cuộc tấn công như vậy đã được thực hiện trên Bitcoin. "Tuy nhiên, chúng tôi tin rằng một số đặc điểm quan trọng của Bitcoin làm cho các cuộc tấn công này phá hoại tiềm năng cao và thực tiễn".
'Dữ liệu nhạy cảm'
Một nhà nghiên cứu từ Cisco Talos, một nhóm bảo mật, phát hiện ra các lỗ hổng trong phần mềm máy trạm của Ethereum, bao gồm một lỗi "có thể dẫn tới sự rò rỉ dữ liệu nhạy cảm về các tài khoản hiện có". Một lỗ hổng bảo mật trong ví Parity dẫn đến tổn thất 155 triệu USD vào tháng 11.
Vào tháng 12, Youbit, một sàn giao dịch tại Hàn Quốc cho biết rằng là sẽ nộp đơn xin phá sản sau một vụ tấn công mất 17% tài sản. Cùng trong tháng 12, công ty dịch vụ đào tiền điện tử NiceHash cho biết tin tặc đánh cắp khoảng 63 triệu USD giá trị Bitcoin từ ví ảo.
Hợp đồng thông minh (smart contracts) – là các chương trình trên nền blockchain cho phép tự động chuyển tài sản - cũng có lỗ hổng. Vào năm 2016, tin tặc đã đánh cắp ít nhất 50 triệu USD trong DAO (Decentralized Autonomous Organizations - một hệ thống hoạt động tự động và phi tập trung), một hợp đồng thông minh quỹ đầu tư mạo hiểm. Chỉ có một bản cập nhật của Ethereum cho phép người dùng lấy lại tiền của họ.
Tư duy cũ của các nhà lập trình là một phần để đổ lỗi cho những sai sót của công nghệ.
“Khi bạn có một lỗi, bạn phát hành một bản vá lỗi”, ý kiến của Richard Ma, đồng sáng lập Quantstamp, một công ty được đầu tư bởi công ty đầu tư mạo hiểm Y Combinator Inc. "Với một hợp đồng thông minh, bạn triển khai nó vào mạng, và nó không thể thay đổi nữa."
Gõ cửa cơ hội
Nhưng Richard Ma thấy một cơ hội. Trong tháng 3, Quantstamp sẽ phát hành một công cụ tự động rà quét các hợp đồng thông minh để tìm lỗi. Các công ty bảo mật mạng được thành lập như McAfee Inc. cũng có thể thay thế các sản phẩm cho số đông blockchain.
"Trong nhiều trường hợp, các sản phẩm hiện có của chúng tôi có thể giúp bảo vệ hệ sinh thái", Steve Grobman, giám đốc công nghệ của McAfee, cho biết trong một cuộc phỏng vấn qua điện thoại. “Nói chung, nó sẽ có điểm yếu trước các mối đe dọa giống như bất kỳ hệ thống phần mềm nào khác ".
Theo ước tính của hãng WinterGreen, thị trường phần mềm, dịch vụ và phần cứng để đảm bảo hoạt động cho blockchain sẽ tăng lên 355 tỷ USD khi nền kinh tế số chuyển sang sử dụng tiền số và các ngân hàng, cộng đồng tài chính hoàn toàn cơ cấu lại. Thị trường này năm 2017 giá trị khoảng 259 triệu USD.
Theo ICTNews