Với những tính năng mở, giao dịch chính xác, chi phí thấp, độ bảo mật cao,… đã khiến blockchain không chỉ được biết đến trong lĩnh vực tài chính, ngân hàng mà công nghệ này đã trở thành nguồn cảm hứng cho một loạt các ứng dụng khác như nông nghiệp – thực phẩm (truy xuất nguồn gốc thực phẩm); ứng dụng blockchain trong quản lý chính phủ điện tử (bầu cử, kiểm soát, định danh cá nhân, dịch vụ công trực tuyến,…); chăm sóc y tế; giao thông thông minh; v.v
Blockchain được đảm bảo nhờ cách thiết kế sử dụng hệ thống tính toán phân cấp với khả năng chịu lỗi cao, vì vậy sự đồng thuận phân cấp có thể đạt được nhờ blockchain. Blockchain phù hợp để ghi lại những sự kiện, hồ sơ y tế, xử lý giao dịch, công chứng, danh tính và chứng minh nguồn gốc. Việc này có tiềm năng giúp xóa bỏ các hệ quả lớn khi dữ liệu bị thay đổi trong bối cảnh thương mại toàn cầu.
Blockchain giúp nâng cao tính minh bạch của thông tin dưới dạng giao dịch, giúp giải quyết các vấn đề về niềm tin và thúc đẩy hợp tác cởi mở. Điều này cho phép các công ty hoạt động hiệu quả hơn trong môi trường quốc tế, cho phép đảm bảo tính liên tục trong kinh doanh.
Đảm bảo độ tin cậy nhất không có nghĩa là an toàn tuyệt đối
Mỗi công nghệ mới phát triển đều kéo theo những nguy cơ tiềm tàng, và công nghệ blockchain cũng không ngoại lệ. Bản thân blockchain có nhiều ưu điểm, tuy nhiên blockchain không độc lập mà cần nền tảng kết nối, bao gồm cả thiết bị phần cứng và phần mềm, đặc biệt là qua mạng lưới internet cho nên vẫn tiềm ẩn nguy cơ mất an toàn.
Mặc dù công nghệ blockchain mang lại lợi ích to lớn cho nhiều tổ chức, giúp giảm thiểu các rủi ro của các hệ thống bảo mật trước đó, nhưng nó cũng mở ra những lỗ hổng bảo mật mới mà các nhà phát triển phần mềm và những chuyên gia bảo mật phần mềm cần lưu ý.
Đầu tiên, có rất nhiều lỗ hổng trong công nghệ blockchain và sổ cái phân tán (DLT: Distributed Ledger Technology) là điều chúng ta cần phải nhận thức được. Những vấn đề này sẽ gây ảnh hưởng tới cách triển khai và nơi chúng ta ứng dụng blockchain. Dưới đây, chúng tôi liệt kê 8 vấn đề bảo mật cần lưu ý trước khi áp dụng blockchain
Kiểm soát sự đồng thuận
Trong các mạng lưới phân tán với quyền truy cập hạn chế, sự đồng thuận được hình thành thông qua sự đồng ý của đa số, việc kiểm soát một số lượng lớn khách hàng tham gia có thể tạo cơ hội kẻ tấn công phá rối quá trình xác nhận.
Tấn công DDoS
Do tính chất phân tán của sổ cái blockchain, chúng có khả năng bị tổn hại trước các cuộc tấn công từ chối dịch vụ phân tán (DDoS) qua thư rác. Ngay cả khi các cuộc tấn công này không hoàn toàn đóng quyền truy cập vào blockchain, chúng vẫn có thể khiến thời gian chờ xử lý quy trình tăng lên, vì các điểm nút hoạt động sẽ bận kiểm tra tính hợp lệ của các giao dịch gian lận.
Lỗ hổng trong sidechain
Những lỗ hổng này có thể gây thiệt hại đến các cổng ra được sử dụng để chuyển các tài sản và tin nhắn giữa blockchain chính và sidechain thông qua chốt hai chiều. Ở đây, nếu một giao dịch khóa ban đầu được coi là không hợp lệ, thì các giao dịch tiếp theo cũng sẽ bị ảnh hưởng.
Hợp đồng thông minh (Smart contract)
Đây là các chương trình giao dịch tự động chạy trên sổ cái phân tán, thường được xây dựng theo tư duy kinh doanh như chính sách bảo hiểm tự thực hiện và các hợp đồng tương lai về tài chính. Điều này khiến chúng có thể bị lỗi mã hóa, thường liên quan đến các ngôn ngữ lập trình chuyên dụng được dùng để xây dựng những hợp đồng thông minh. Cụ thể, hiện tượng này đã được quan sát thấy trong các hợp đồng thông minh sử dụng công nghệ blockchain Ethereum được viết bằng các ngôn ngữ lập trình hướng đối tượng như “Serpent” hoặc “Solidity”.
Lỗ hổng blockchain riêng tư
Một số doanh nghiệp đã triển khai các blockchain riêng bằng cách sử dụng cơ sở hạ tầng mạng sẵn có, dịch vụ dựa trên nền tảng đám mây và đặc quyền truy cập của người dùng. Cấu hình này giúp bảo vệ họ khỏi những can thiệp từ bên ngoài. Từ quan điểm của kẻ tấn công, việc phát hiện ra sự tồn tại của một blockchain riêng có thể tăng thêm nguy cơ đột nhập bởi kẻ phá hoại sẽ suy đoán rằng phải có thứ gì giá trị ở đó thì người ta mới xây dựng hệ thống an ninh như vậy để bảo vệ nó.
Tấn công 51%
Bên cạnh các vấn đề an ninh mạng truyền thống, blockchain còn đối mặt với các cuộc tấn công 51%, khi tin tặc chiếm quyền kiểm soát hơn một nửa hệ thống máy đào trong blockchain (hay còn gọi là giao dịch 2 lần, chi tiêu gian lận khi 1 lượng tiền Bitcoin và các khoản nợ khác được dùng 2 lần).
Hãy nhìn các cuộc tấn công 51% mà các đồng tiền điện tử gặp phải trong năm 2018 khiến nhiều đồng tiền bị sụp đổ. Những đồng tiền điện tử sử dụng blockchain và bị tin tặc tấn công bao gồm các tiền điện tử nổi tiếng như BitCoinGold, Verge, Monacoin và Electroneum.
Tấn công lừa đảo
Trong một cuộc tấn công lừa đảo, mục đích của tin tặc là lấy được thông tin đăng nhập của người dùng. Chúng có thể gửi email trông có vẻ đáng tin cậy và hợp pháp đến chủ sở hữu khóa ví. Các email này yêu cầu người dùng cung cấp thông tin đăng nhập thông qua một siêu liên kết đính kèm.
Số lượng các cuộc tấn công lừa đảo này ngày càng tăng lên trong các mạng blockchain, tạo ra vấn đề nhức nhối cho các doanh nghiệp.
Các cuộc tấn công lừa đảo thường nhắm vào cá nhân, nhân viên công ty. Vì vậy, các biện pháp ngăn chặn tấn công kiểu này cần hướng tới giáo dục cá nhân và giải pháp diện rộng.
Tấn công định tuyến
Một mạng lưới, ứng dụng blockchain hoạt động dựa trên việc truyền tải một khối lượng dữ liệu khổng lồ trong thời gian thực. Tin tặc có thể lợi dụng đặc tính ẩn danh của tài khoản để đánh cắp dữ liệu trong quá trình truyền tải dữ liệu tới các nhà cung cấp dịch vụ internet.
Mối đe dọa này thường khó nhận ra bởi việc truyền dữ liệu và các hoạt động vẫn diễn ra bình thường. Điểm nguy hiểm là các cuộc tấn công này thường sẽ làm rò rỉ dữ liệu bí mật mà các thành viên không hề biết.
Thiết kế bảo mật ngay khi xây dựng blockchain
Blockchain là một công nghệ hứa hẹn được tạo thành từ các thành phần khác nhau mà tất cả đều gặp phải những vấn đề an ninh không gian mạng như bất kỳ hệ thống kỹ thuật số không sử dụng blockchain. Chúng ta có thể kết luận rằng việc bảo mật blockchain không khác gì so với việc bảo mật các dự án không sử dụng blockchain.
Trong lý thuyết an ninh thông tin cổ điển, bảo mật có thể được đo lường thông qua ba thành phần riêng biệt: Bảo mật, Tính toàn vẹn và Tính khả dụng.
Bảo mật chính là thách thức lớn nhất của blockchain. Thông thường, một hệ thống an toàn sẽ bảo vệ dữ liệu hoặc thông tin khỏi những con mắt tò mò. Một ví dụ về tính bảo mật là việc sử dụng mã hóa, do đó chỉ những người có thẩm quyền mới giải mã thông điệp và đọc nội dung. Hiện nay, công nghệ nền tảng của đồng tiền điện tử Bitcoin dựa trên blockchain có thể đảm bảo tính minh bạch của tất cả các giao dịch. Bất cứ ai ở bất cứ đâu có thể theo dõi giao dịch Bitcoin và các giao dịch của người khác. Nhiều người (đặc biệt các phương tiện truyền thông) coi Bitcoin là nguy hiểm vì nó là một “tiền tệ vô danh”. Điều này không thực sự chính xác bởi vì Bitcoin có tính minh bạch chứ không phải vô danh. Trong thực tế, nó thực sự tuân thủ một mô hình minh bạch triệt để đó và đó chính là cực đối lập của bảo mật. Người ta có thể nói rằng Bitcoin là vô danh vì không có liên kết giữa danh tính thật và danh tính công khai của người dùng. Kể từ khi Bitcoin chạy trên internet nó vốn đã có lỗ hổng tương tự của bất kỳ mạng nào.
Bất kỳ tin tặc tinh vi nào cũng có thể kết nối khóa công khai của mọi người với ID thực bằng cách quan sát lưu lượng truy cập IP và so sánh với các IP cụ thể. Nhiều người cho rằng tính năng vốn có của hầu hết các blockchain thực sự có nghĩa là chúng không an toàn. Hãy tưởng tượng bạn lưu trữ một bức ảnh đặc biệt nhạy cảm về bản thân bạn trên một số blockchain. Rất có thể bức ảnh đó sẽ bị người khác truy cập được.
Tính toàn vẹn
Thành phần thứ hai của một hệ thống an toàn là tính toàn vẹn. Điều này về cơ bản có nghĩa dữ liệu là chính xác và không bị thay đổi, giả mạo. Đây là tính năng vượt trội của blockchain. Ví dụ, khi bạn thực hiện một hợp đồng thông minh trên mạng Ethereum, nó sẽ có hệ thống nút xác minh trước khi được ghi lại trên blockchain. Tính toàn vẹn của Bitcoin được cho là cao nhất trên thế giới (tức là không ai có thể thay đổi dữ liệu nếu không thực hiện được cuộc tấn công 51%).
Tính khả dụng
Một hệ thống được coi là an toàn nếu nó sẵn sàng để sử dụng, nếu không mọi người sẽ phải sử dụng các phương tiện không an toàn và ảnh hưởng đến tính bảo mật. May mắn là tính khả dụng của blockchain khá tốt đặc biệt là khi so sánh với các hệ thống tập trung. Bitcoin là ví dụ rõ ràng nhất về một mạng lưới mạnh mẽ mà hầu như không bao giờ biến mất trong hơn 10 năm tồn tại của nó.
Tất nhiên đặc điểm này không đúng với tất cả blockchain mà chỉ phù hợp với các blockchain phân quyền và chống kiểm duyệt. Chúng ta vẫn chưa thấy các cuộc tấn công mạng lớn chống lại các blockchain; do đó, còn quá sớm để tin về tính khả dụng của nó.
Chắc chắn rằng công nghệ blockchain sẽ có một tương lai tuyệt vời phía trước. Ngoài những ưu điểm to lớn của bản thân công nghệ này, chúng ta sẽ có lợi thế hơn khi bước vào kỷ nguyên công nghệ blockchain với nhận thức rõ rệt hơn về các yếu tố rủi ro an ninh mạng khi đối mặt với bất kỳ xu thế công nghệ mới nào.