Đồng sáng lập CertiK thảo luận về các mối đe dọa và chiến lược phòng thủ an ninh Web3.0

Gần đây, một phương tiện truyền thông công nghệ nổi tiếng đã có cuộc phỏng vấn với đồng sáng lập và CEO của CertiK. Hai bên đã thảo luận sâu về báo cáo an ninh mới nhất của công ty, cũng như sự biến đổi của các phương pháp tấn công của hacker và con đường đổi mới của công nghệ phòng thủ an ninh.

CEO này nhấn mạnh rằng an ninh nên được coi là một nguyên tắc cơ bản, chứ không phải là biện pháp khắc phục sau. Ông khuyến khích việc tích hợp an ninh vào chiến lược tổng thể ngay từ đầu dự án, cho rằng chiến lược chủ động "an ninh ưu tiên" là rất quan trọng để xây dựng các ứng dụng Web3.0 đáng tin cậy. Cụ thể, ông đề xuất việc sử dụng tích cực các công nghệ tiên tiến như xác minh hình thức, chứng minh không kiến thức, tính toán đa bên để tăng cường khả năng bảo vệ của các giao thức blockchain và hợp đồng thông minh.

Sự kiên định với an ninh này không phải là sản phẩm của xu hướng thị trường ngắn hạn, mà là kết quả từ việc CEO này khám phá và thực hành lý tưởng công nghệ trong suốt thời gian dài. Từ việc tham gia phát triển hệ điều hành được ca ngợi là "không thể chê vào đâu được", đến nay xây dựng một rào cản an ninh cho tài sản số trị giá trên 5300 tỷ đô la, ông luôn cam kết bảo vệ an ninh của ngành và nâng cao lòng tin trong ngành.

Vị CEO này nhiều lần nhấn mạnh rằng, an ninh không phải là lợi thế cạnh tranh mà là trách nhiệm chung. Ông đã chuyển đổi các kết quả học thuật của phòng thí nghiệm thành các thực tiễn an ninh có thể áp dụng trong ngành, đồng thời đưa vào khái niệm "trách nhiệm chung" trong hợp tác ngành. Vị lãnh đạo công nghệ này, xuất thân từ các trường đại học hàng đầu, đang chống lại sự không chắc chắn của các cuộc tấn công mạng bằng tính khả chứng của logic toán học, định vị tọa độ an ninh của thời đại Web3.0 giữa lý tưởng công nghệ và thực tế.

Nội dung phỏng vấn: Bảo vệ tiên phong của Web3.0 - Phân tích mối đe dọa và phòng thủ an ninh blockchain

Trong lĩnh vực Web3.0 đang phát triển nhanh chóng, an ninh blockchain đã trở thành ưu tiên hàng đầu. CertiK được dẫn dắt bởi một giáo sư khoa học máy tính tại Đại học Columbia, cam kết tăng cường bảo vệ an ninh cho hệ sinh thái blockchain. Công ty này nâng cao an ninh cho blockchain và hợp đồng thông minh thông qua công nghệ xác thực hình thức, đã trở thành người dẫn đầu trong ngành an ninh Web3.0.

Báo cáo an ninh mới nhất đã tiết lộ các xu hướng mới trong việc đánh cắp tài sản kỹ thuật số và các mối đe dọa an ninh. Báo cáo cũng khám phá các công nghệ tiên tiến như chứng minh không biết và tính toán đa bên, cung cấp các lời khuyên thiết thực cho các nhà phát triển blockchain, đồng thời phân tích vai trò kép của AI trong lĩnh vực an ninh. Khi các tổ chức tài chính truyền thống dần dần tham gia vào blockchain, các thách thức an ninh cũng gia tăng, do đó, các biện pháp chủ động để bảo vệ người dùng và duy trì tính toàn vẹn của hệ sinh thái trở nên rất quan trọng.

Q：Xin hãy giới thiệu ngắn gọn về bản thân bạn và sứ mệnh cốt lõi của CertiK.

A：Tôi là đồng sáng lập và CEO của CertiK, đồng thời cũng là giáo sư tại Đại học Columbia. Sứ mệnh của tôi và CertiK đều gắn liền với việc tăng cường tính an toàn cho hệ sinh thái Web3.0.

CertiK được thành lập vào năm 2017, với ý tưởng cốt lõi là sử dụng công nghệ xác minh hình thức để liên tục giám sát và củng cố an ninh cho các giao thức blockchain và hợp đồng thông minh, đảm bảo chúng hoạt động một cách an toàn và chính xác. Chúng tôi tích hợp các giải pháp tiên tiến từ cả giới học thuật và ngành công nghiệp, hỗ trợ các ứng dụng Web3.0 đạt được sự mở rộng bền vững trong khi đảm bảo an toàn. Đến nay, chúng tôi đã cung cấp dịch vụ cho hơn 4,900 khách hàng doanh nghiệp, bảo vệ tổng cộng hơn 5,300 tỷ đô la tài sản kỹ thuật số, phát hiện hơn 115,000 lỗ hổng mã.

Q: Những phát hiện chính nào trong báo cáo an ninh gần đây của CertiK?

A：Quý 1 năm 2025, thiệt hại do các sự kiện lừa đảo trên chuỗi ước tính khoảng 1.66 tỷ USD, tăng vọt 303% so với quý trước. Điều này chủ yếu do sự kiện sàn giao dịch bị hack vào cuối tháng 2, kẻ tấn công đã đánh cắp khoảng 1.4 tỷ USD. Tương tự như các quý trước, trong quý này Ethereum vẫn là mục tiêu chính bị tấn công, 3 sự kiện an ninh đã gây ra thiệt hại tài sản lên tới 1.54 tỷ USD. Còn đáng kinh ngạc hơn, chúng tôi phát hiện chỉ có 0.38% tài sản bị đánh cắp được thu hồi thành công trong quý đầu tiên.

Q：So với các quý trước, mục tiêu chính của các cuộc tấn công blockchain có thay đổi không?

A：Xu hướng của quý I năm 2025 tiếp tục tình trạng vào cuối năm 2024, Ethereum vẫn là khu vực bị tấn công nặng nề. Trong quý IV năm 2024, đã có tổng cộng 99 sự kiện an ninh xảy ra trên Ethereum, trong khi quý I là 93 sự kiện. Đây là một chủ đề liên tục: trong suốt năm 2024, các dự án dựa trên Ethereum đã trải qua nhiều sự kiện an ninh nhất; nhìn về năm 2025, tình huống này dường như vẫn tiếp diễn.

Một sự cố bị hack của một sàn giao dịch cũng là một ví dụ điển hình: ví dựa trên hệ sinh thái Ethereum đã bị xâm nhập, chịu tổn thất nặng nề. Nguyên nhân khiến Ethereum trở thành mục tiêu tấn công là do có nhiều giao thức DeFi, quy mô tài sản bị khóa rất lớn; mặt khác, trong số nhiều hợp đồng thông minh trên Ethereum, một số vẫn còn tồn tại lỗ hổng.

Q：Đối mặt với những phương pháp tấn công ngày càng phức tạp, ngành an ninh blockchain sẽ phản ứng như thế nào?

A：Các kẻ tấn công ngày càng sử dụng nhiều hơn các chiến lược phức tạp như kỹ thuật xã hội, công nghệ AI, thao túng hợp đồng thông minh, để vượt qua các cơ chế bảo vệ an ninh hiện có. Khi tài sản kỹ thuật số được áp dụng rộng rãi và giá trị tăng lên, ngành công nghiệp phải thích ứng với tình hình mới, đảm bảo tính toàn vẹn của dự án và an toàn tài sản của người dùng.

Ngành công nghiệp đang tích cực đối phó với những thách thức, thúc đẩy sự phát triển của các công nghệ đổi mới bao gồm bằng chứng không tiết lộ (ZKP) và an ninh trên chuỗi, những công nghệ này cung cấp giải pháp đầy hứa hẹn cho những vấn đề an ninh ngày càng nghiêm trọng, có thể thực hiện khả năng kiểm toán giao dịch, truy xuất nguồn gốc tấn công và thu hồi tài sản đồng thời bảo vệ quyền riêng tư. Tính toán đa bên (MPC) còn tăng cường quản lý khóa bằng cách phân tán quyền kiểm soát khóa riêng cho nhiều bên tham gia, từ đó loại bỏ rủi ro điểm đơn và tăng cường đáng kể độ khó cho kẻ tấn công trong việc truy cập ví mà không được phép. Với sự tiến hóa không ngừng của các công nghệ an ninh này, chúng sẽ đóng vai trò vô cùng quan trọng trong việc chống lại các cuộc tấn công của hacker và duy trì tính toàn vẹn của hệ sinh thái phi tập trung.

Q: Bạn sẽ đưa ra những lời khuyên nào về an toàn cho các nhà phát triển blockchain và đội ngũ dự án?

A: Đặt an ninh lên hàng đầu ngay từ đầu nên là một nguyên tắc không thể thỏa hiệp. Việc tích hợp an ninh vào mọi giai đoạn phát triển, chứ không phải khắc phục sau này, giúp phát hiện sớm các lỗ hổng tiềm ẩn, từ đó tiết kiệm được rất nhiều thời gian và tài nguyên về lâu dài. Chiến lược chủ động "an ninh ưu tiên" này là rất quan trọng để xây dựng nền tảng cho các ứng dụng Web3.0 đáng tin cậy. Việc tích hợp an ninh vào toàn bộ quy trình phát triển giúp phát hiện lỗ hổng sớm, tiết kiệm chi phí sửa chữa sau này.

Ngoài ra, việc tìm kiếm các cơ quan an ninh blockchain để thực hiện kiểm toán bên thứ ba toàn diện và công bằng cũng có thể cung cấp cái nhìn độc lập, phát hiện ra những rủi ro tiềm ẩn mà đội ngũ nội bộ có thể đã bỏ qua. Các đánh giá bên ngoài này cung cấp các bước kiểm tra quan trọng, giúp nhận diện và khắc phục kịp thời các lỗ hổng, từ đó tăng cường tổng thể an ninh của dự án, nâng cao thêm lòng tin của người dùng.

Q：AI đóng vai trò gì trong an ninh blockchain? Ảnh hưởng tích cực hay mang lại rủi ro mới?

A：AI là một công cụ quan trọng trong hệ thống an ninh của chúng tôi, và chúng tôi đã đưa nó vào một trong những chiến lược cốt lõi để đảm bảo an toàn cho hệ thống blockchain. Chúng tôi sử dụng công nghệ AI để phân tích các lỗ hổng và các thiếu sót tiềm ẩn trong hợp đồng thông minh, giúp chúng tôi thực hiện kiểm toán toàn diện một cách hiệu quả hơn bao giờ hết, nhưng nó không thể thay thế đội ngũ kiểm toán viên chuyên gia.

Tuy nhiên, kẻ tấn công cũng có thể tận dụng AI để củng cố các phương thức tấn công của mình. Ví dụ, AI có thể được sử dụng để xác định điểm yếu trong mã, lách khỏi cơ chế đồng thuận và hệ thống phòng thủ. Điều này có nghĩa là ngưỡng chống lại an ninh đã được nâng cao, và với sự phổ biến ngày càng tăng của ứng dụng AI, ngành công nghiệp phải đầu tư vào các giải pháp an ninh mạnh mẽ hơn.

Q：Xác minh hình thức là gì? Nó làm thế nào để nâng cao hiệu quả kiểm toán blockchain?

A：Xác minh hình thức là một phương pháp chứng minh chương trình máy tính hoạt động theo mong đợi bằng cách sử dụng các phương pháp toán học. Nó biểu diễn các thuộc tính của chương trình dưới dạng công thức toán học và sử dụng các công cụ tự động để xác minh.

Công nghệ này có thể được áp dụng rộng rãi trong các lĩnh vực khác nhau của ngành công nghệ, bao gồm thiết kế phần cứng, kỹ thuật phần mềm, an ninh mạng, AI và kiểm toán hợp đồng thông minh. Tuy nhiên, cần nhấn mạnh rằng xác minh hình thức không phải là để thay thế kiểm toán thủ công. Đối với hợp đồng thông minh, xác minh hình thức dựa vào các phương pháp tự động để đánh giá logic và hành vi của hợp đồng, trong khi kiểm toán thủ công được thực hiện bởi các chuyên gia an ninh để kiểm tra toàn diện mã, thiết kế và triển khai nhằm xác định các rủi ro an ninh tiềm ẩn. Cả hai đều bổ sung cho nhau, cùng nhau nâng cao tính an toàn tổng thể của hợp đồng thông minh.

Q: Với việc các tổ chức tài chính truyền thống gia nhập vào lĩnh vực blockchain, bạn có nghĩ rằng loại hoặc mức độ phức tạp của các mối đe dọa an ninh sẽ thay đổi không?

A：Trong giai đoạn đầu của Web3.0 và ngành công nghiệp blockchain, những kẻ tấn công thường nhắm mục tiêu vào người dùng cá nhân hoặc các dự án nhỏ, với các phương thức bao gồm tấn công lừa đảo, RugPull và khai thác lỗ hổng ví. Theo báo cáo quý mới nhất mà chúng tôi phát hành, những thách thức này vẫn tồn tại. Tuy nhiên, với sự tham gia của các tổ chức truyền thống và doanh nghiệp lớn, rủi ro an toàn của tính toàn vẹn mạng cũng sẽ bước vào giai đoạn mới. Đằng sau sự chuyển mình này không chỉ là sự gia tăng khối lượng tài sản dự án mà còn liên quan đến nhu cầu an toàn đặc thù của ứng dụng cấp doanh nghiệp, yêu cầu quản lý, cũng như sự hợp nhất sâu sắc giữa blockchain và hệ thống tài chính truyền thống.

Vì hầu hết các tổ chức truyền thống đều có kinh nghiệm đối phó với các mối đe dọa mạng, chúng tôi dự đoán rằng những kẻ xấu cũng sẽ nâng cao độ phức tạp của các phương thức tấn công, chuyển từ việc tấn công các lỗ hổng ví phổ thông sang các điểm yếu cấp doanh nghiệp có tính nhắm mục tiêu hơn, chẳng hạn như cấu hình sai, lỗ hổng hợp đồng thông minh tùy chỉnh, cũng như các khuyết điểm về bảo mật trong giao diện tích hợp với hệ thống truyền thống.