KelpDAO bị tấn công tiết lộ những điểm yếu trong an ninh Web3

Vụ hack KelpDAO đã cho thấy nhiều điểm yếu trong an ninh Web3. Vấn đề lớn nhất là các chuỗi khối thực thi giao dịch hoàn hảo dựa trên dữ liệu sai lệch.

An ninh Web3 vẫn đứng ở hàng đầu, như một cách để xây dựng lại niềm tin vào các giao thức DeFi. Vụ hack KelpDAO đã gây hậu quả lâu dài cho vay DeFi và đặt ra các vấn đề về việc nâng cao an ninh Web3.

Các vụ hack DeFi đạt đỉnh một năm trong tháng Tư, mở ra cuộc thảo luận về rủi ro Web3 và các phương pháp tốt hơn để ngăn chặn các vụ hack. | Nguồn: DeFiLlama.

Làn sóng hack gần đây trong tháng Tư có thể khiến các ứng dụng xem xét lại cách truy cập dữ liệu và cho phép giao dịch. Các vụ hack tương tự tiếp tục trong tháng Năm, với $930K mất trong tháng tính đến nay. Gần đây, Bisq Protocol mất $858K dựa trên logic giao thức sai lệch và một cuộc tấn công giả mạo khách hàng, theo dữ liệu của DeFiLlama.

Các ứng dụng Web3 gặp vấn đề xác thực dữ liệu

Theo Victor Fei của Ormilabs, vụ hack KelpDAO là một ví dụ rõ ràng về cách một ứng dụng có thể tiếp tục hoạt động, ngay cả khi trạng thái chuỗi khối không phù hợp với dữ liệu.

Fei giải thích rằng các ứng dụng không luôn tham chiếu trực tiếp đến chuỗi khối. Thay vào đó, chúng dựa vào các trung gian như nút RPC, thay vì dữ liệu trực tiếp trên chuỗi. Đây là yêu cầu đối với Ethereum và các chuỗi cũ hơn, vốn không còn khả thi để truy cập trực tiếp đối với hầu hết các ứng dụng.

Với nguồn dữ liệu hạn chế, một cầu nối chỉ có thể dựa vào một số ít nút RPC. Khi một số nguồn bị xâm phạm hoặc không khả dụng, ứng dụng có thể hoạt động dựa trên dữ liệu sai lệch, trong khi chuỗi nền vẫn tính các giao dịch là hợp lệ.

Hầu hết các ứng dụng Web3 hiện đại không truy cập trực tiếp vào chuỗi, mà dựa vào các dạng lập chỉ mục để lấy thông tin phù hợp. Việc lập chỉ mục có thể hiển thị dữ liệu sai lệch hoặc trở thành một vector tấn công trực tiếp.

Vụ khai thác KelpDAO đã tiết lộ rõ ràng điểm yếu này. Quá trình xác thực tin tưởng vào một số nguồn RPC hạn chế, và các hacker đã chiếm đoạt một số nguồn đó. Với lớp dữ liệu sai lệch, chuỗi khối xử lý các giao dịch như bình thường và tiêu tốn coin thật để đổi lấy số dư giả mạo.

Vấn đề còn nghiêm trọng hơn nếu các AI agent được phép hành động dựa trên lớp dữ liệu hạn chế và có thể sai lệch này.

Điều gì có thể nâng cao an ninh Web3?

Điểm yếu lớn nhất trong KelpDAO, Drift Protocol và các vụ hack gần đây là tốc độ thực thi. Hầu hết các giao dịch diễn ra ngay lập tức và được xác nhận trong khối tiếp theo, không có thời gian chờ hoặc kiểm tra bổ sung. Web3 đã quảng bá khả năng thực hiện các giao dịch nhanh không cần phép, nhưng cũng cho phép các tác nhân xấu thực hiện vụ trộm của họ với tốc độ cao.

“Tương lai của an ninh Web3 phụ thuộc vào tốc độ. Dữ liệu của chúng tôi cho thấy rằng việc hack và rửa tiền diễn ra nhanh và rẻ, trong khi phản ứng của các nhóm chậm và tốn kém,” ông Vladyslav Syrotin, Trưởng bộ phận Điều tra tại Global Ledger, nhận xét với Cryptopolitan.

Syrotin cho rằng các dự án Web3 nên giảm thời gian phát hiện để bắt kịp các dòng chảy bất thường, giảm thanh khoản đột ngột hoặc các cuộc gọi hợp đồng thông minh đáng ngờ.

Theo Syrotin, các cảnh báo và chặn nên được tự động hóa trong vòng một giây sau cuộc tấn công, và các báo cáo nạn nhân cùng dữ liệu gắn nhãn nên sẵn sàng trong vòng 10 phút. Hiện tại, việc tổng hợp thiệt hại và truy tìm các nhóm ví của hacker mất hàng giờ hoặc hàng ngày.

Syrotin bổ sung rằng, ngay cả một khung thời gian chậm hơn, với cảnh báo 30 giây và gắn nhãn trong bốn giờ, cũng có thể giúp ngăn chặn khoảng một nửa các vụ việc và giảm thiệt hại.

Đừng chỉ đọc tin tức crypto. Hiểu nó. Đăng ký nhận bản tin của chúng tôi. Miễn phí.