2025-12-28 13:08:28

Nói về an ninh blockchain, nhiều người phản ứng đầu tiên là các chủ đề quen thuộc như kiểm toán hợp đồng, bảo quản khóa riêng tư. Nhưng thực tế, mối đe dọa thực sự có thể khiến ví tiền sạch trơn trong một đêm thường ẩn trong góc khuất của mật mã học.

Đội ngũ SlowMist gần đây đã tổng hợp một phân tích sâu về các rủi ro mật mã học phổ biến trong các ứng dụng Web3, phát hiện ra rằng vấn đề còn phổ biến hơn chúng ta tưởng tượng. Ví dụ, một số dự án tùy ý sử dụng các thuật toán mã hóa yếu, hoặc thiếu sót trong quá trình tạo và quản lý khóa, những chi tiết này đủ để phá vỡ hàng rào an ninh tưởng chừng vững chắc.

Điều đáng buồn nhất là nhiều ứng dụng còn tồn tại các lỗi cấu hình trong các bước cơ bản như xác thực chữ ký, xác thực tin nhắn. Có dự án dùng hàm băm lỗi thời, có dự án thiết kế quá tùy tiện trong quá trình xuất khóa, thậm chí có dự án hoàn toàn không hiểu gì về entropy. Điều này có nghĩa là kẻ tấn công không cần các phương pháp phức tạp vẫn có thể giả mạo giao dịch hoặc mạo danh người dùng.

Mỗi bước tương tác trên chuỗi đều gọi đến các nguyên thủy mật mã — từ tạo địa chỉ ví, ký giao dịch, đến xác thực hợp đồng thông minh. Chỉ cần một bước chọn sai thuật toán hoặc tham số, toàn bộ chuỗi có nguy cơ bị xâm phạm. Các giao thức DeFi, nền tảng NFT, cầu nối chuỗi chéo, bất kỳ kịch bản nào dựa vào mật mã đều có thể gặp rủi ro.

Để thực sự bảo vệ tài sản, cần bắt đầu từ việc hiểu rõ các rủi ro này. Kiểm toán mã không chỉ xem xét lỗi logic, mà còn phải đánh giá kỹ lưỡng hạ tầng mật mã. Lựa chọn sử dụng thư viện thuật toán đã được chứng minh, cập nhật phụ thuộc định kỳ, đảm bảo rằng trước khi tạo bất kỳ khóa nào, trình tạo số ngẫu nhiên phải đáng tin cậy — những chi tiết này thường quyết định dự án đó vững chắc như bàn thạch hay lung lay như nhào lộn.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

13 thích

Phần thưởng
13
6
Đăng lại
Retweed

Bình luận

0/400

AirdropHunter

· 13giờ trước

Lớp phòng thủ mật mã yếu đến mức này sao? Cảm giác nhiều dự án đang chơi lửa đấy

Xem bản gốcTrả lời0

TokenomicsTinfoilHat

· 14giờ trước

Chết tiệt, hóa ra đây là lỗ đen thực sự, tôi nghĩ đó là một lỗi hợp đồng --- Mật mã thực sự là một điểm mù đối với hầu hết các nhóm và không có gì ngạc nhiên khi các bên dự án đang chết nhanh chóng --- Nói thẳng ra, cơ sở hạ tầng rất tệ, nhưng may mắn thay, tôi không ép nhiều tiền vào một số đồng tiền nhỏ --- Một thứ như entropy có thể là 0 không? Tôi cảm thấy rằng nhận thức về an toàn của toàn ngành nên được khởi động lại --- Chẳng phải điều này có nghĩa là một số giao thức đứng đầu cũng đang đùa với lửa, hơi sợ hãi --- Có vẻ như bạn phải tự học mật mã và bạn không thể chỉ dựa vào các công ty kiểm toán --- Không có gì ngạc nhiên khi luôn có những tai nạn với bắc cầu, hóa ra tác phẩm này không được thực hiện tốt --- Điều đáng sợ nhất là bên dự án không biết họ đang sử dụng thuật toán nào, và đó hoàn toàn là vấn đề may mắn

Xem bản gốcTrả lời0

DaoResearcher

· 14giờ trước

Tôi phải nói rằng, những rủi ro về mật mã mà bài viết đề cập thực sự đáng để thảo luận sâu hơn. Xét về hiệu suất dữ liệu, phần lớn các dự án Web3 đều tồn tại các lỗ hổng hệ thống trong xử lý PRNG và nguồn entropy, chiếm hơn 73% trong mẫu kiểm tra trên chuỗi của tôi, với khoảng tin cậy 95%. Vấn đề then chốt là — các bên dự án thường xem hạ tầng mật mã như một hộp đen, điều này đi ngược lại nguyên tắc đầu tiên của thiết kế mật mã. Tôi đề xuất mọi người đọc lại tiêu chuẩn NIST SP 800-90B về sinh số ngẫu nhiên, trong đó mục 3.2.1 rõ ràng chỉ ra tính dễ tổn thương của hàm băm lỗi thời (như SHA-1) khi tạo khóa con. Điều đáng chú ý là, các lỗi cấu hình trong xác thực chữ ký thường bắt nguồn từ sự hiểu nhầm về các tham số ECC của các nhà phát triển. Đây không chỉ là vấn đề kỹ thuật, mà còn phản ánh việc thiếu cơ chế bắt buộc kiểm tra mật mã trong quản trị DAO. Chỉ kiểm tra hợp đồng một cách đơn thuần đã trở nên lỗi thời — chúng ta cần xây dựng các tiêu chuẩn đề xuất quản trị cho hạ tầng mật mã.

Xem bản gốcTrả lời0

RunWithRugs

· 14giờ trước

Mật mã học thật sự dễ bị bỏ qua, nhiều dự án đã bị phá vỡ vì lý do này

Xem bản gốcTrả lời0

DefiPlaybook

· 14giờ trước

Hợp đồng kiểm toán đã lỗi thời từ lâu, mật mã học mới là thực sự là vùng đất mìn, chỉ cần một bộ sinh số ngẫu nhiên yếu là có thể khiến tài sản của bạn về 0 Một đợt dự án nữa sắp gặp rắc rối rồi, hoàn toàn không hiểu gì về entropy... Các nhà phát triển thế hệ này thật sự Không nói nữa, tôi đi kiểm tra xem ví của mình đang dùng thuật toán gì... Lỗ hổng mật mã học còn nguy hiểm hơn lỗ hổng logic, khó phòng tránh quá Các công ty lớn đã qua kiểm toán rồi, vẫn có thể bị tấn công bởi backdoor mật mã học, thật là vô lý Hàm băm lỗi thời còn được sử dụng trong tự nhiên? Đây rõ ràng là đang gửi tiền cho hacker Bộ sinh số ngẫu nhiên thì không thể tin tưởng, Web3 thật sự là chỗ nào cũng có rủi ro Từ hôm nay trở đi, chọn dự án trước tiên hãy xem hạ tầng mật mã học

Xem bản gốcTrả lời0

GasOptimizer

· 14giờ trước

Mật mã an toàn thực sự đã bị đánh giá thấp nghiêm trọng, nhiều dự án chết vì hàm băm lỗi thời mà không ai lên tiếng. Đây mới là điểm yếu thực sự, không phải là việc giữ khoá riêng hay những trò vặt vãnh đó. Cảm giác phần lớn các nhóm thực sự không hiểu gì về entropy, không có gì lạ khi kẻ tấn công dễ dàng đi qua. Chỉ cần một khâu trên chuỗi bị lỗi là toàn bộ hệ thống cũng hỏng, nhìn có vẻ an toàn nhưng thực ra là ảo. Chọn sai thư viện thuật toán là tự sát, còn muốn ổn định như đá tảng thì cười chết luôn. Dự án RNG không đáng tin cậy thì tôi sẽ tránh xa, không dám đánh cược.

Xem bản gốcTrả lời0