Nhà sáng lập Ethereum, Vitalik Buterin, đã từng dự đoán về các lỗ hổng của cầu nối giữa các chuỗi khối. Ảnh: CtyptoSlate.
Mỗi chuỗi khối được phát triển biệt lập, và có các quy tắc và cơ chế đồng thuận khác nhau. Cầu nối trong thế giới tiền điện tử hoạt động giống như cầu trong thế giới thực - kết nối các vùng biệt lập này để chuyển giao thông tin và tài sản.
“Cầu nối giữa các chuỗi khối có những điểm yếu mang tính nội tại về độ an toàn”, Buterin cảnh báo Twitter vào tháng 1.
1,3 tỷ USD là số tiền điện tử đã bị tin tặc lấy đi thông qua tấn công cầu nối, chỉ riêng trong năm 2022. Đầu tháng 2, vụ hack cầu nối Wormhole gây thiệt hại khổng lồ 300 triệu USD, theo ngay sau đó là vụ hack cầu nối Ronin làm người dùng Axie Infinity thiệt hại hơn 600 triệu USD.
Mới đây, ngày 7/10, tấn công cầu nối tiếp tục xảy ra với Binance. Đến nay chưa rõ mức thiệt hại, nhưng công ty bảo mật chuỗi khối SlowMist ước tính vào khoảng 600 triệu USD, ngang với vụ hack Axie Infinity và có thể là vụ hack lớn nhất nhì trong lịch sử.
Cảnh báo của Vitalik Buterin
Buterin cho rằng các cầu nối làm tăng rủi ro an ninh, vì khi tài sản chuyển giữa các chuỗi khác nhau với các giao thức bảo mật khác nhau, số con đường để tin tặc có thể tấn công cũng tăng lên.
Nếu người dùng giữ ETH của mình trong chuỗi khối Ethereum, tiền có an toàn hay không chỉ phụ thuộc vào các cơ chế của Ethereum.
Nhưng khi những đồng ETH này di chuyển qua cầu nối để đến các chuỗi khối khác, độ an toàn giờ đây còn phụ thuộc vào chuỗi đích đến và bất kỳ giải pháp cầu nối nào dùng để "đóng gói" và di chuyển tài sản.
Trong khi các chuỗi khối riêng lẻ sử dụng cơ chế xác thực phi tập trung, thì phần lớn các cầu nối ngày nay có sự tham gia của một tổ chức trung gian xác thực giao dịch, với mục đích tăng tốc độ và giảm chi phí xử lý. Cầu Ronin của Axie Infinity là một ví dụ điển hình.
Điều đó cũng có nghĩa là các giao dịch trên cầu nối đặt niềm tin vào nhà điều hành, thay vì "đặt niềm tin vào mã hóa" và bảo mật phi tập trung như các chuỗi khối cơ bản. Đây là lý do nhiều người tỏ ra nghi ngờ rằng một số vụ tấn công cầu nối có "tay trong".
Việc trao đổi tài sản giữa các chuỗi khối khác nhau cũng làm cho các chuỗi trở nên phụ thuộc lẫn nhau. Nếu một chuỗi trong kết nối bị tấn công 51% - tin tặc chiếm đa số quyền xác thực và có thể thực hiện/ đảo ngược các giao dịch theo ý muốn - các chuỗi khác cũng sẽ bị ảnh hưởng thông qua bể tài sản thế chấp trên cầu nối.
Càng dùng nhiều, càng nguy hiểm
Tấn công 51% dù chỉ một chuỗi khối cũng khó và đắt đỏ, và sẽ vô nghĩa khi thực hiện dạng tấn công này để lấy một lượng nhỏ tiền đang lưu chuyển trên cầu nối, Buterin lưu ý.
Nhưng càng hoạt động trên quy mô lớn, các cầu nối càng trở thành một bể thanh khoản chứa rất nhiều các loại tiền điện tử mà nó đang "bắc cầu", trở thành đối tượng hấp dẫn.
“Cầu nối có một đặc tính phản hệ thống - khi ít giao dịch thì sẽ khá an toàn, nhưng càng nhiều giao dịch rủi ro càng lớn”, nhà sáng lập Ethereum viết. Đặc tính này gần như ngược lại với các chuỗi khối cơ bản - khi chuỗi càng lớn thì càng khó chiếm quyền đa số và càng an toàn.
Cho dù đã có nhiều tiền lệ và cảnh báo, các vụ tấn công cầu nối khả năng cao vẫn sẽ tiếp diễn, theo một báo cáo của Chainalysis về các vụ hack tiền điện tử trong nửa đầu năm 2022.