Lỗ hổng không nằm ở blockchain, mà ở hệ sinh thái xung quanh
Một trong những hiểu lầm phổ biến nhất trong cộng đồng Web3 là cho rằng blockchain “bất khả xâm phạm”. Về mặt lý thuyết, điều này đúng với Blockchain sử dụng cơ chế đồng thuận (consensus), chữ ký số, mã hóa bất biến giúp đảm bảo dữ liệu không bị chỉnh sửa. Tuy nhiên, các hệ thống blockchain chỉ là phần “core” của cả một hạ tầng vận hành phức tạp.
 |
| Ông Nguyễn Lê Thành - CEO Verichains, phát biểu tại Hội thảo GM Blockchain Security Forum 2025, chiều 1/8. Ảnh BTC. |
Theo ông Nguyễn Lê Thành - CEO Verichains, phát biểu tại Hội thảo GM Blockchain Security Forum 2025, phần lớn các vụ hack nổi tiếng như Ronin Bridge bị đánh cắp 650 triệu USD, BNB Chain bị hack 600 triệu USD hay gần đây là Bybit mất hơn 1,4 tỷ USD đều không phải do blockchain bị phá vỡ.
Thay vào đó, hơn 70% các cuộc tấn công nhằm vào những điểm yếu bên ngoài hệ thống blockchain, như ví lạnh lưu trữ tài sản, máy chủ của sàn giao dịch, các giao diện quản trị, hoặc lỗi trong mã của hợp đồng thông minh. Đôi khi, chỉ một cấu hình sai hoặc một nhân viên bị lừa tải phần mềm độc cũng đủ để hacker tìm được đường vào và đánh cắp hàng trăm triệu USD.
Vụ Ronin là ví dụ điển hình cho một mô hình “Social Engineering 2.0”, hacker sử dụng kịch bản tuyển dụng giả để đưa mã độc vào máy nhân viên, rồi âm thầm chiếm quyền truy cập vào khóa cá nhân vận hành cầu nối với Ethereum. Điều đáng nói là toàn bộ vụ việc diễn ra trong nhiều tháng mà không bị phát hiện và cho thấy sự thiếu hụt về khả năng giám sát hành vi (behavioral monitoring) và thiếu công cụ cảnh báo sớm.
Trong vụ Bybit, lỗ hổng lại nằm ở bên cung cấp ví đa chữ ký (Set Wallet). Hacker khai thác tài khoản quản trị AWS, thay đổi mã nguồn ví, đánh tráo smart contract để cướp quyền kiểm soát luồng tiền. Đây là minh chứng rằng ngay cả khi hệ thống chính (sàn) không bị hack, thì bên cung ứng phụ trợ, nếu yếu vẫn có thể trở thành cửa ngõ dẫn đến thảm họa.
Một đặc điểm chung đáng lưu ý là các dự án Web3 thường lớn rất nhanh, huy động hàng chục triệu USD chỉ sau vài tháng, nhưng năng lực kiểm thử bảo mật, kiểm toán mã nguồn, giám sát vận hành lại chưa theo kịp. Thậm chí, nhiều dự án được kiểm toán bởi các công ty lớn như OtterSec hay MoveBit nhưng vẫn để lọt các lỗ hổng nghiêm trọng như trong vụ hack Cetus mất 230 triệu USD.
Tất cả cho thấy vấn đề không nằm ở blockchain, mà ở những gì xây dựng quanh nó và trong nhiều trường hợp, cả những gì vận hành nó.
Việt Nam có thể trở thành trung tâm an ninh Blockchain khu vực
Không chỉ chứng kiến sự bùng nổ của thị trường tài sản số, Việt Nam đang nổi lên như một trong những quốc gia có đóng góp kỹ thuật đáng kể cho lĩnh vực an ninh blockchain toàn cầu.
Theo ông Vũ Ngọc Sơn - Giám đốc công nghệ Công ty NCS, Việt Nam có ba lợi thế lớn, thứ nhất là lực lượng kỹ sư có tư duy logic mạnh và khả năng làm việc với mã nguồn phức tạp, thứ hai kinh nghiệm thực chiến từ các vụ điều tra lớn toàn cầu và cuối cùng vị thế trung lập dễ dàng kết nối hợp tác quốc tế.
Tuy nhiên, để trở thành trung tâm an ninh blockchain của khu vực, Việt Nam cần sớm hoàn thiện bốn trụ cột: pháp lý - công nghệ - nhân lực - hợp tác quốc tế. Trong đó, việc xây dựng khung pháp lý riêng cho Web3, triển khai môi trường thử nghiệm tài sản số, và thành lập mạng lưới cảnh báo ứng cứu sự cố tương tự CSIRT nhưng dành cho blockchain là rất cần thiết.
Ông Nguyễn Lê Thành nhấn mạnh, “Không quốc gia nào có thể đơn độc chống lại tội phạm blockchain, Việt Nam có thể chủ động đề xuất sáng kiến khu vực về chia sẻ dữ liệu, truy vết giao dịch bất hợp pháp và nâng cao khả năng đóng băng tài sản số đây một mắt xích đang thiếu trong hạ tầng pháp lý toàn cầu”.
Phi tập trung mang đến tự do, nhưng cũng đặt ra thách thức lớn về kiểm soát. Trong môi trường mà mọi giao dịch đã ký là không thể thu hồi, thì sự cố bảo mật không còn là rủi ro công nghệ mà là rủi ro hệ thống.
“An ninh blockchain không chỉ là chuyện mã hóa hay kỹ thuật, mà là tổng thể của cả hệ sinh thái bao gồm chuẩn mực vận hành, quy định pháp lý, năng lực nhân sự và khả năng hợp tác”, ông Vũ Ngọc Sơn nhận định.
Đây là lúc Việt Nam có thể vượt qua vai trò người xử lý hậu quả để trở thành quốc gia kiến tạo tiêu chuẩn, dẫn dắt mạng lưới an ninh blockchain trong khu vực. Khi niềm tin số trở thành tài sản lớn nhất của một nền kinh tế số, thì an toàn hạ tầng blockchain không còn là lựa chọn mà là điều kiện tiên quyết để bước vào cuộc chơi toàn cầu.
Thu Uyên
Bình luận