Kiểm toán khóa quản trị, không chỉ mã, chuyên gia cho biết sau vụ khai thác Drift trị giá 200 triệu đô la
Tác giả Betty Lynn
Kiểm toán khóa quản trị, không chỉ mã, chuyên gia cho biết sau vụ khai thác Drift trị giá 200 triệu đô la
Thế giới tiền điện tử một lần nữa phải vật lộn với hậu quả của một vụ khai thác lớn, lần này nhắm vào giao thức Drift. Mặc dù các chi tiết xung quanh cơ chế chính xác của cuộc tấn công vẫn đang nổi lên, nhưng sự cố này, được báo cáo là gây ra thiệt hại khoảng 200 triệu đô la, đã làm bùng lên cuộc tranh luận quan trọng về các biện pháp bảo mật trong tài chính phi tập trung (DeFi). Trọng tâm ngày càng chuyển sang tầm quan trọng thường bị bỏ qua của việc kiểm toán các khóa quản trị, không chỉ mã cơ bản.
Kiểm toán hợp đồng thông minh truyền thống kiểm tra tỉ mỉ mã để tìm các lỗ hổng như lỗi, lỗi logic và các khai thác tiềm năng. Tuy nhiên, sự cố này nêu bật nhu cầu cấp thiết phải mở rộng phạm vi kiểm toán bảo mật để bao gồm các giao thức bảo mật và quản lý các khóa quản trị, những khóa này kiểm soát các chức năng quan trọng của giao thức. Việc sở hữu các khóa quản trị bị xâm phạm có thể cho phép các tác nhân độc hại bỏ qua ngay cả mã được kiểm toán mạnh mẽ nhất.
Quan điểm của Chuyên gia
Vấn đề cốt lõi, theo các chuyên gia bảo mật, nằm ở tiềm năng kiểm soát tập trung, ngay cả trong các hệ thống được cho là phi tập trung. Mặc dù bản thân mã có thể được kiểm tra kỹ lưỡng, nhưng quyền truy cập đặc quyền do khóa quản trị cấp tạo ra một vectơ tấn công đáng kể. Một khuyến nghị phổ biến là triển khai các lược đồ đa chữ ký và cơ chế khóa thời gian cho các chức năng quản trị. Điều này giới thiệu một mức độ dự phòng và ngăn chặn một khóa bị xâm phạm duy nhất gây ra thiệt hại thảm khốc. Hơn nữa, các quy trình quản trị minh bạch và được xác định rõ ràng là rất quan trọng để quản lý các thay đổi đối với giao thức và đảm bảo trách nhiệm giải trình.
Chỉ đơn giản cho rằng các khóa quản trị là an toàn thì không đủ. Kiểm toán thường xuyên các quy trình xung quanh việc tạo, lưu trữ và kiểm soát truy cập khóa là rất cần thiết. Điều này bao gồm xác minh tính bảo mật của ví phần cứng, tính mạnh mẽ của các biện pháp quản lý mật khẩu và việc triển khai các biện pháp kiểm soát truy cập thích hợp trong nhóm phát triển.
Những điều cần theo dõi
Trong thời gian tới, cộng đồng tiền điện tử cần chú ý đến cách các giao thức triển khai và quản lý các khóa quản trị của họ. Hãy mong đợi sự giám sát ngày càng tăng đối với các mô hình quản trị và nhu cầu ngày càng tăng đối với các dự án để chứng minh các biện pháp quản lý khóa mạnh mẽ. Các nhà đầu tư và người dùng nên tích cực tìm kiếm các dự án ưu tiên không chỉ kiểm toán mã mà còn cả kiểm toán bảo mật toàn diện đối với cơ sở hạ tầng quản trị của họ.
Phản hồi từ nhóm Drift sẽ được theo dõi chặt chẽ. Cách họ xử lý hậu quả, bồi thường cho người dùng và thực hiện các biện pháp bảo mật nâng cao sẽ tạo tiền lệ cho ngành. Sự cố này có thể sẽ dẫn đến sự giám sát quy định chặt chẽ hơn và thúc đẩy trách nhiệm giải trình lớn hơn trong không gian DeFi. Cuộc điều tra đang diễn ra về vụ khai thác sẽ hy vọng tiết lộ vectơ tấn công chính xác và cung cấp những bài học có giá trị cho hệ sinh thái tiền điện tử rộng lớn hơn.
Cuối cùng, bảo mật của các giao thức DeFi phụ thuộc vào một phương pháp tiếp cận toàn diện xem xét cả mã và yếu tố con người. Kiểm toán các khóa quản trị không còn là một "điều tốt" mà là một điều cần thiết để xây dựng lòng tin và đảm bảo khả năng tồn tại lâu dài của tài chính phi tập trung.
Nguồn: CoinDesk