Các cá nhân và tổ chức đã triển khai một loạt các hoạt động khai thác các Token Contract trong hệ sinh thái Ethereum, thêm thanh khoản cho các pools và triển khai các hợp đồng thông minh để hỗ trợ cho các mô hình kinh doanh.

Đáng chú ý là sự tăng trưởng này cũng làm gia tăng các đợt tấn công khai thác bảo mật (Security Exploits), khiến các giao thức tài chính phi tập trung (DeFi) dễ bị hack và lừa đảo.

 (Security Exploit là một loại chương trình, được tạo ra để nhắm vào một điểm yếu nhất định nào đó – gọi là lỗ hổng – trong một phần mềm hoặc phần cứng, từ ứng dụng phần mềm đến các chuỗi code, dữ liệu,..)

Ví dụ: từ đầu năm đến tháng 7 năm 2022, các vụ hack liên quan đến tiền điện tử tăng 58.3% theo báo cáo của công ty “tình báo” tiền điện tử Chainalysis  (the crypto intelligence firm Chainalysis). 1,9 tỷ đô la đã bị mất vào các vụ hack này chưa bao gồm vụ hack Nomad Bridge trị giá 190 triệu đô la xảy ra vào ngày 1 tháng 8 năm 2022.

Mặc dù mã nguồn mở mang lại nhiều lợi ích cho ngành công nghiệp blockchain nhưng nó lại dễ bị tội phạm công nghệ cao tấn công. Việc kiểm tra bảo mật các Smart Contract nhằm giải quyết những thách thức này. Tuy nhiên, vì đang thiếu các tiêu chuẩn nên tạo ra sự phức tạp cho việc kiểm tra bảo mật.

Cần một tiêu chuẩn ngành (industry standard) để đảm bảo tính bảo mật của smart contract

Chris Cordi, chủ tịch của the EthTrust Security Levels Working Group  tại Enterprise Ethereum Alliance (EEA) , nói với Cointelegraph rằng khi ngành công nghiệp Ethereum blockchain phát triển,cần phải có những khung tiêu chuẩn hoàn thiện để đánh giá tính bảo mật của các smart contract.

Để giải quyết vấn đề này, Cordi cùng với một số thành viên đại diện của EEA có chuyên môn về kiểm toán công nghệ thông tin và bảo mật, đã thành lập the EthTrust Security Levels Working Group vào tháng 11 năm 2020. Tổ chức này đã và đang làm việc để đưa ra một tài liệu dự thảo về các thông số kỹ thuật hay các tiêu chuẩn ngành của smart contract nhằm mục đích cải thiện tính bảo mật phía sau những smart contract. 

Gần đây nhất, nhóm làm việc việc xuất bản một bản mô tả thông số kỹ thuật các mức độ bảo mật của EthTrust v1 (the Eth Trust Security Specification v1 .

Chaals Nevile, giám đốc chương trình kỹ thuật của EEA, nói với Cointelegraph rằng các thông số kỹ thuật này là thước đo tiêu chuẩn tối thiểu mô tả các lỗ hổng khi tiến hành các cuộc kiểm tra bảo mật trong smart contract. Nó liên quan đến tất cả các smart contract platform dựa trên EVM mà nhà phát triển lập trình đã sử dụng Solidity làm ngôn ngữ lập trình tạo nên. Trong một phân tích gần đây của Splunk, con số này cao hơn 3/4 tổng số hợp đồng mạng lưới chính thức (mainnet Contract). Cũng có các mạng và dự án chạy trên chuỗi riêng dựa trên nền tảng công nghệ Ethereum. Điều này hữu ích đối với người dùng mainnet trong việc bảo mật công việc của họ. 

(Solidity là một ngôn ngữ lập trình để xây dựng các hợp đồng thông minh (smart contract) trên Ethereum. Đây được xem là một nền tảng hợp đồng thông minh phi tập trung hàng đầu trong crypto. Nó có rất nhiều điểm tương đồng với C và C ++.)

Từ góc độ kỹ thuật, Nevile giải thích rằng thông số kỹ thuật mới phác thảo ba cấp độ kiểm tra mà các tổ chức nên xem xét khi thực hiện kiểm tra bảo mật của các smart contracts.

  • “Kiểm tra Cấp [S]: sử dụng đối với hầu hết các trường hợp, trong đó các tính năng phổ biến của Solidity được sử dụng theo các pattern phổ biến. Các mã code được chứng nhận thông qua một công cụ “kiểm tra tĩnh -static analysis” tự động. Kiểm tra tĩnh – Static Analysis là một kĩ thuật kiểm tra các tài iệu và tự động phân tích các cú pháp của code hoặc thông số kỹ thuật của một dự án mà không cần chạy chương trình. Pattern không phải là một đoạn code cụ thể, mà nó là một khuôn mẫu cho việc giải quyết các vấn đề thường gặp trong lúc code.)
  • Kiểm tra Cấp độ [M]: yêu cầu “kiểm tra tĩnh – static Analysis” chặt chẽ hơn, bao gồm các yêu cầu các kiểm tra viên phải xác định xem việc sử dụng một tính năng có cần thiết hay không hoặc những yêu cầu đặc tính bảo mật của mã có hợp lý hay không.
  • Kiểm tra Cấp độ [Q]:  phân tích business logic của mã code được kiểm tra.  Điều này nhằm đảm bảo rằng mã code không có các lỗ hổng bảo mật, đồng thời đảm bảo rằng nó triển khai đúng những gì được yêu cầu. Ngoài ra còn có một bài kiểm tra “recommended good practises” có thể giúp tăng cường bảo mật đằng sau các smart contract.

(Business Logic: các quy tắc hoặc thuật toán (algorithm) tùy chỉnh xử lý việc trao đổi thông tin giữa cơ sở dữ liệu (database) và giao diện người dùng (user interface).

“Sử dụng trình biên dịch mới nhất (last compiler) là một trong những ‘recommended good practises.’ Đây là một vấn đề khá đơn giản trong hầu hết các trường hợp, nhưng có rất nhiều lý do khiến contract có thể không được triển khai với phiên bản mới nhất. Các phương pháp khác bao gồm báo cáo các lỗ hổng bảo mật mới để chúng có thể được giải quyết trong bản cập nhật thông số kỹ thuật và viết mã rõ ràng, dễ đọc. ”

Nhìn chung, có khoảng 50 yêu cầu trong tổng số 107 yêu cầu trong toàn bộ tiêu chuẩn thông số kỹ thuật là các yêu cầu kiểm tra Cấp độ [S]. Các yêu cầu này phát sinh từ các lỗi trong trình biên dịch solidity .

Một tiêu chuẩn ngành sẽ giúp các tổ chức và nhà phát triển? 

Nevile chỉ ra rằng các thông số kỹ thuật về mức độ bảo mật của EthTrust nhằm mục đích giúp kiểm tra viên chứng minh cho khách hàng rằng họ đang hoạt động ở cấp độ phù hợp. Ông nói: “Các kiểm tra viên có thể chỉ ra tiêu chuẩn ngành này để thiết lập uy tín cơ bản.

Để làm sáng tỏ điều này, Ronghui Gu, Giám đốc điều hành và đồng sáng lập của công ty bảo mật blockchain CertiK, nói với Cointelegraph rằng việc có các tiêu chuẩn như thế này sẽ giúp đảm bảo các quy trình và hướng dẫn thực hiện. Tuy nhiên, các tiêu chuẩn này không phải là “con dấu cao su” để đảm bảo một smart contract hoàn toàn an toàn:

“Điều quan trọng là phải hiểu rằng không phải tất cả các kiểm tra viên smart contract đều như nhau. Kiểm tra smart contract cần được bắt đầu với sự hiểu biết và trải nghiệm về hệ sinh thái cụ thể mà hợp đồng thông minh đang được kiểm tra cũng như tech stack (tổng hợp công nghệ được sử dụng để xây dựng và phát triển ứng dụng) và code language (ngôn ngữ mã) đang được sử dụng. Không phải tất cả các mã coade hoặc chuỗi đều đủ khả năng đáp ứng được. Kinh nghiệm rất quan trọng đối với việc kiểm tra độ bao phủ (test coverage) và phát hiện lỗ hổng. “

Test coverage là một kỹ thuật xác định xem các trường hợp thử nghiệm có thực sự bao trùm mã ứng dụng hay không và bao nhiêu mã được thực hiện khi chạy các trường hợp thử nghiệm.

Do đó, Gu tin rằng các công ty muốn kiểm tra smart contract thì không chỉ nhìn vào chứng chỉ hành nghề của người kiểm tra viên mà còn phải quan tâm đến năng lực, kinh nghệm và uy tín của kiểm tra viên. Các tiêu chuẩn này sẽ là khởi đầu tốt cho một cuộc kiểm tra bảo mật. 

Mark Beylin, đồng sáng lập của Myco – một mạng xã hội dựa trên blockchain mới nổi – nói với Cointelegraph rằng những tiêu chuẩn này sẽ vô cùng có giá trị để giúp các nhà phát triển smart contract hiểu rõ hơn những yêu cầu của một cuộc kiểm tra bảo mật. Là một nhà phát triển, ông cho rằng các thông số kỹ thuật này cực kỳ hữu ích.

“Hiện tại, có rất nhiều nguồn tài nguyên cho bảo mật smart contract, nhưng không có một quy tắc cụ thể nào mà các kiểm toán viên sẽ tuân theo khi đánh giá bảo mật của một dự án. Sử dụng thông số kỹ thuật này, cả kiểm tra viên bảo mật và khách hàng của họ có thể có cùng một ý tưởng là sẽ thực hiện kiểm tra loại yêu cầu bảo mật nào. ”

Michael Lewellen, một nhà phát triển và người đóng góp và việc xây dựng bảng thông số kỹ thuật, nói với Cointelegraph rằng các thông số kỹ thuật này cung cấp danh sách kiểm tra các vấn đề bảo mật. “Thời gian gần đây, nhiều nhà phát triển Solidity đã không được đào tạo chính quy về các khía cạnh bảo mật của quá trình phát triển Solidity, nhưng bảo mật vẫn được mong đợi. Có thông số kỹ thuật như thế này giúp bạn dễ dàng tìm ra cách viết code an toàn hơn”

Hầu hết các yêu cầu chi tiết được viết một cách đơn giản, giúp các nhà phát triển dễ hiểu. Tuy nhiên, ông nhận xét rằng không phải lúc nào cũng rõ lý do tại sao một yêu cầu kiểm tra lại được đưa vào. “Một số yêu cầu yêu kiểm tra có liên kết đến tài liệu phần mềm lỗ hổng bảo mật bên ngoài, nhưng một số thì không. Các nhà phát triển sẽ dễ hiểu hơn nếu họ có các ví dụ rõ ràng hơn về mã tuân thủ và không tuân thủ có thể trông như thế nào ”.

Sự phát triển của các tiêu chuẩn bảo mật hợp đồng thông minh 

Bảng thông số kỹ thuật của cấp độ bảo mật đang giúp thúc đẩy hệ sinh thái Ethereum bằng cách thiết lập các hướng dẫn cho việc kiểm tra các smart contract. Tuy nhiên, Nevile cũng lưu ý thêm rằng thách thức trong tương lai mà chúng ta phải đối diện đó chính là là các lỗ hổng vẫn có thể xuất hiện. Anh ấy nói:

“Các thông số kỹ thuật này không giải quyết hoàn toàn những thách thức. Tuy nhiên, các thông số kỹ thuật này sẽ xác định các bước cơ bản như ghi lại cấu trúc phần mềm – architecture và business logic đằng sau các contract. Điều quan trọng để cho phép kiểm tra bảo mật một cách kỹ lưỡng. “

“Các chuỗi khác nhau sẽ bắt đầu phát triển các tiêu chuẩn tương tự như Web3 . Ví dụ: một số nhà phát triển trong ngành Ethereum đang đưa ra các yêu cầu hợp đồng thông minh của riêng họ để giúp những người khác”. ông Gu nói.

Ví dụ, Samuel Cardillo, giám đốc công nghệ tại RTFKT, gần đây đã tweet rằng anh ấy đã tạo ra một hệ thống để các nhà phát triển đánh giá công khai các hợp đồng thông minh dựa trên các yếu tố phát triển tốt và xấu:

Ông Gu nói rằng: “Đây là những bước đi đúng hướng nhưng để các tiêu chuẩn đánh giá này cần có thời gian để có thể áp dụng rộng rãi”. Nevile giải thích rằng bảo mật không bao giờ là biến tĩnh. Do đó, các cá nhân có thể gửi câu hỏi đến những người đã viết ra bảng thông số kỹ thuật. “Chúng tôi sẽ tiếp thu những ý kiến phản hồi và tiến hành các cuộc thảo luận trong công cộng rộng lớn hơn vì chúng tôi hy vọng sẽ cập nhật thêm thông số kỹ thuật khác,”. Ông nói thêm rằng một phiên bản mới của thông số kỹ thuật sẽ được ra đời trong vòng sáu đến mười tám tháng.

Nguồn: RACHEL WOLFSON – Cointelegraph.com

———————————————————————————————————
Cảnh báo rủi ro
:
Bài viết thể hiện quan điểm cá nhân của tác giả, có thể không phản ánh quan điểm của thị trường.
Giao dịch tiền điện tử phải chịu rủi ro thị trường cao, hãy thực hiện các giao dịch của bạn một cách thận trọng.
Khuyến cáo, TradeCoinAsia sẽ không chịu trách nhiệm về tổn thất giao dịch của bạn.
Cảm ơn sự ủng hộ của bạn!
TradeCoinAsia Team
————————————————————————————————————

Thông tin hữu ích thì để lại một SUBSCRIBE – FOLLOW – LIKE cho kênh để ủng hộ nhé!
Website Youtube |Twitter Telegram FB | TikTok
#EmilyNguyen #TradeCoinAsia