Nền tảng Crypto-DAG có dễ bị tấn công không? Hiểu các rủi ro bảo mật

Nền tảng crypto-DAG là một loại sổ cái phân tán được sử dụng để quản lý các giao dịch bằng tiền điện tử. Không giống như các chuỗi khối, nó sử dụng cấu trúc Đồ thị theo chu kỳ có hướng (DAG), trong đó mỗi giao dịch tham chiếu đến các giao dịch trước đó, tạo ra một hệ thống phi tập trung hơn — không có thợ mỏ hoặc người trung gian khác. Obyte là một trong những nền tảng như vậy.

Tuy nhiên, giữa những lợi ích là những lo ngại về lỗ hổng bảo mật và khả năng bị hack. Ở đây, chúng tôi sẽ tổng quan nhanh về bối cảnh bảo mật của các nền tảng tiền điện tử-DAG, khám phá các biện pháp hiện có để bảo vệ tiền và dữ liệu của người dùng. Bằng cách hiểu những rủi ro và thách thức liên quan đến các hệ thống đổi mới này, người dùng có thể đưa ra quyết định sáng suốt khi tham gia vào hệ sinh thái tiền điện tử-DAG.

DAG vs Blockchains (dành cho tin tặc)

Vì vậy, có thể bạn đang tự hỏi hệ thống nào an toàn nhất: DAG hay blockchain? Chà, sự thật là không có câu trả lời nào phù hợp cho tất cả mọi người. Nó hoàn toàn phụ thuộc vào mạng cụ thể. Cả DAG và chuỗi khối đều có những điểm mạnh và điểm yếu về bảo mật riêng và sự an toàn của chúng phụ thuộc vào mức độ chúng được thiết kế, triển khai và duy trì.

Tuy nhiên, một DAG như Obyte có thể giảm thiểu một số rủi ro bảo mật đã có trong nhiều chuỗi khối. các cuộc tấn công tiềm ẩn như kiểm duyệt giao dịch, chi tiêu gấp đôi (chi tiêu cùng một loại tiền nhiều lần), tấn công Sybil (các nút lừa đảo thông đồng để làm hỏng mạng) và tấn công 51% (phần lớn thợ mỏ hoặc người xác thực thông đồng để kiểm soát mạng) luôn hiện diện rủi ro trong bất kỳ chuỗi khối nào. Chưa kể đến các lỗ hổng hợp đồng thông minh khá phổ biến, từ đó tin tặc đã đánh cắp hàng tỷ đô la.

Mặt khác, không phải tất cả các DAG đều giống nhau, nhưng chúng có chung một tính năng quan trọng: chúng là chuỗi không có khối, không có công cụ khai thác hoặc trình xác thực-phê duyệt mạnh mẽ . Mỗi giao dịch được đan xen với giao dịch trước đó và giao dịch tiếp theo, tạo thành một biểu đồ trên đường đi. Không cần công cụ khai thác hoặc nhà sản xuất khối (được gọi nhầm là “trình xác thực”) để phê duyệt hoặc từ chối giao dịch: một khi giao dịch được tạo bởi bất kỳ người dùng nào, giao dịch đó sẽ được đưa vào DAG. Vì vậy, những thứ như kiểm duyệt là không thể.

Các mối đe dọa khác

Giờ đây, để tránh chi tiêu gấp đôi và các cuộc tấn công Sybil, Obyte đã Nhà cung cấp đặt hàng (trước đây gọi là nhân chứng). Những nhà cung cấp này, thường là những cá nhân hoặc công ty được kính trọng, tạo ra các giao dịch giống như những người khác và những giao dịch này đóng vai trò là điểm tham chiếu để đặt hàng tất cả các giao dịch khác. Đổi lại, họ nhận được một phần phí giao dịch, nhưng đó không phải là mục đích chính của Nhà cung cấp đơn đặt hàng.

Họ được cộng đồng lựa chọn cho vai trò này trong số những thành viên đáng kính của cộng đồng, những người sẽ mất rất nhiều thứ nếu họ cư xử không đúng mực. Và, không giống như những người khai thác hoặc “người xác thực” trong chuỗi khối, bản thân họ không có nhiều quyền lực. Họ không thể quyết định giao dịch nào được chấp thuận hay không và họ không thể chi tiêu gấp đôi.

Về cơ bản, điều duy nhất họ có thể làm nếu thông đồng với nhau là dừng mạng, cho đến khi một mạng mới với một nhóm Nhà cung cấp đơn đặt hàng mới được khởi động lại từ điểm mà mạng cũ đã dừng. Họ đã được chính cộng đồng lựa chọn để bắt đầu, vì vậy, cùng một cộng đồng có thể loại bỏ vai trò này. Họ sẽ mất danh tiếng với tư cách cá nhân hoặc doanh nghiệp và bị loại khỏi mạng. Không ai có thể mua quyền kiểm soát một DAG phi tập trung.

Còn vụ hack IOTA thì sao?

IOTA là một sổ cái tiền điện tử DAG khác nổi tiếng với một cuộc tấn công xảy ra vào năm 2020. Tin tặc đã đánh cắp 8,5 triệu mã thông báo gốc MIOTA của IOTA trực tiếp từ người dùng —khoảng 2 triệu đô la vào thời điểm đó. Điều đó làm tăng sự ngờ vực đối với các hệ thống dựa trên DAG, nhưng vấn đề là, bản thân DAG đã không bị tấn công vào thời điểm đó. Thay vào đó, tin tặc đã khai thác một tính năng trong ví IOTA Trinity cho phép người dùng mua MIOTA bằng tiền pháp định thông qua MoonPay — một cổng chuyển đổi pháp định sang tiền điện tử của bên thứ ba.

t anh ta tấn côngquản lý để thay thế mã hợp lệ từ API MoonPay bằng mã độc hại. Điều đó đã xâm phạm tất cả các lượt tải xuống của Trinity Wallet từ ngày 17 tháng 12 năm 2019 đến ngày 17 tháng 2 năm 2020. Sau khi người dùng nhập cụm từ gốc (khóa riêng tư) vào ví bị xâm phạm, những kẻ tấn công đã có quyền truy cập vào tiền của họ và có thể chuyển chúng vào tài khoản của chính họ.

IOTA Foundation đã đình chỉ mạng (điều này có thể xảy ra vì mạng đã và vẫn hoàn toàn tập trung) trong vài tuần để tránh tổn thất thêm và người sáng lập đã hứa để hoàn trả bản thân người dùng bị ảnh hưởng. Đáng buồn thay, đây là lỗ hổng của bên thứ ba có thể xảy ra với bất kỳ nền tảng sổ cái phân tán nào (blockchain hoặc DAG).

Bạn có thể làm gì để bảo vệ tiền của mình?

Nhận thức được những rủi ro là bước đầu tiên. Thứ hai là bảo vệ khóa riêng của bạn bằng mọi giá. Xem trường hợp của IOTA, bạn nên phân phối tiền của mình vào một số ví và giảm bớt các dịch vụ của bên thứ ba khi có thể — đặc biệt là từ ví chính của bạn. Bước thứ ba là luôn chú ý đến những tin tức mới nhất về sổ cái phân tán mà bạn tham gia. Nếu có vấn đề gì đó, nhóm sẽ thông báo nhanh chóng thông qua các kênh công khai để giảm thiểu thiệt hại.

Một điểm yếu tiềm ẩn trong bất kỳ hệ thống phi tập trung nào, bao gồm Obyte , là yếu tố con người. Tính bảo mật của tiền của người dùng có thể bị xâm phạm nếu người dùng cá nhân trở thành nạn nhân của các cuộc tấn công kỹ thuật xã hội (lừa đảo), nỗ lực lừa đảo (mạo danh) hoặc nếu họ chia sẻ khóa riêng tư hoặc cụm từ khôi phục với những kẻ độc hại. Người dùng phải cảnh giác và thận trọng, không chỉ liên quan đến các tương tác của họ với mạng mà còn trong việc bảo vệ các chi tiết xác thực của chính họ.

Đừng quên rằng chúng ta đã nói về bảo vệ khóa riêng của bạn trong Obyte và mức độ phổ biến lừa đảo tiền điện tử công việc. Để bảo vệ tiền của bạn, đừng tạo điều kiện dễ dàng cho tin tặc và những kẻ lừa đảo!

Hình ảnh Vector nổi bật của Freepik