Bear Market nhưng ngành bảo mật trong crypto đang "hái ra tiền"
*Đây là series “monKEY” về quản lý tài chính cá nhân qua những câu chuyện kiếm tiền và mất tiền “lạ đời”.
“Chúng tôi đã chi rất, rất nhiều tiền cho việc audit (kiểm toán),” Paul Frambot, CEO của công ty startup tiền điện tử Morpho Labs cho biết. “Tôi nghĩ trong DeFi vấn đề bảo mật không được coi trọng đúng mức.” Theo Frambot, trong năm qua, Morpho đã thực hiện hơn 10 cuộc kiểm toán code.
Công ty nghiên cứu Chainalysis cho biết trong năm nay, các hacker tinh vi đã đánh cắp khoảng 2 tỷ USD từ các giao thức tài sản kỹ thuật số, và những cuộc tấn công này không có dấu hiệu chậm lại. Nhưng sự xui xẻo của các công ty này lại là “vận may” cho các dịch vụ bảo mật tiền điện tử. Chúng đang được chuyển từ danh mục “có thì tốt” sang nhóm “bắt buộc phải có” - ngay cả đối với các startup “tự thân vận động” và các dự án do cộng đồng thúc đẩy.
Các công ty đầu tư mạo hiểm (VC) cũng không đứng ngoài cuộc. Đến thời điểm này trong năm, họ đã rót 257 triệu USD vào các công ty kiểm toán và bảo mật tiền điện tử, trong năm 2021, con số này là 185 triệu USD - theo CB Insights.
Hacker rình rập và tấn công dồn dập
Tuy mới phát triển được gần mười năm nhưng crypto đã trở thành mục tiêu cho vô số cuộc tấn công lớn nhỏ của những kẻ trộm, từ vụ hack sàn giao dịch Bitfinex vào năm 2016 cho đến vụ exploit Poly Network vào năm ngoái.
Các hacker đã nhắm vào hợp đồng thông minh trong các ứng dụng DeFi và quét sạch hàng trăm triệu USD. Đặc biệt với sự phát triển của Web3, các ứng dụng này sẽ ngày càng được kết nối với nhau và trải dài trên nhiều blockchain.
"Điều này càng tạo điều kiện để các vụ exploit nảy nở" - Lex Sokolin, nhà kinh tế trưởng tại ConsenSys, công ty audit hợp đồng thông minh, nói. Trong nửa đầu năm 2022, các dự án blockchain của Web3 đã mất hơn 2 tỷ USD vào tay hacker, theo công ty kiểm toán và bảo mật Blockchain CertiK.
Nhưng gần đây vấn đề đã trở nên tồi tệ hơn khi các hacker tìm được miếng mồi ngon mới - các bridge. Trong 7 tháng đầu năm 2022, các vụ tấn công vào bridge chiếm hơn 2/3 tổng giá trị bị đánh cắp trong crypto, theo ước tính của Chainalysis.
Vào tháng 3, các hacker đã tấn công bridge Ronin kết nối với trò Axie Infinity và lấy cắp khoảng 600 triệu USD (chi tiết vụ hack tại đây). Đây thật sự là cơn ác mộng đối với Sky Mavis - nhà phát triển của Axie Infinity - khi họ buộc phải bồi thường cho những người chơi bị mất tiền. Vụ tấn công có liên quan đến nhóm hacker Bắc Triều Tiên Lazarus.
Một vụ hack như thế, hoặc thậm chí một lỗi lớn trong phần code cũng có thể đặt dấu chấm hết cho một ứng dụng mà các nhà phát triển đã dành nhiều tháng hoặc nhiều năm xây dựng.
“Các giao thức này không đơn giản giống như một dịch vụ có thể bị gián đoạn trong một thời gian - ví dụ như không thể xem TV trong vài giờ,” Stefano Schiavi, nhà đầu tư tại bitscale.vc, backer của công ty bảo mật tiền điện tử Immunefi, nói. Khi các giao thức crypto gặp vấn đề, “nhiều người mất một số tiền lớn và thường là mất tất cả.”
Các công ty crypto đang phản ứng lại với các vụ tấn công này bằng cách tăng cường kiểm toán code.
Trả 320,000 USD và chờ chín tháng để được kiểm toán
Về cơ bản, kiểm toán là quá trình các nhà phát triển giàu kinh nghiệm xem xét code. Họ nghiên cứu chúng cẩn thận để tìm ra bug, những lổ hỗng bảo mật và các vấn đề khác có thể khiến công nghệ vận hành theo cách không mong muốn. Trong một số trường hợp, các nhà phát triển giao thức có thể khắc phục những điểm yếu đã được xác định và sau đó nhờ các kiểm toán viên review các bản vá đó.
Một số công ty kiểm toán crypto sử dụng công cụ quét code tự động. Trong khi những bên khác, như OpenZeppelin, sử dụng ít nhất hai kiểm toán viên. Từng người lần lượt xem qua code và xem từng dòng một.
Đến thời điểm này trong năm, 1,161 dự án bên ngoài đã yêu cầu ConsenSys kiểm toán code trong các hợp đồng thông minh của họ. Con số này gần bằng con số trong năm 2021, năm 2020 chỉ có 247 yêu cầu, công ty cho biết. Để được kiểm toán, khách hàng có thể phải bỏ ra đến 320,000 USD và chờ đến chín tháng.
Tại công ty kiểm toán đối thủ Trail of Bits, trong 12 tháng qua phí đã tăng khoảng 20% - 25%. Theo Nick Selby, phó chủ tịch của công ty thì đây là kết quả của việc nhu cầu tăng cao gây áp lực lên thời gian hoàn tất audit.
Lương kiểm toán viên blockchain 400,000 USD/năm
Mức lương cho các kiểm toán viên blockchain có kinh nghiệm có thể lên tới 400,000 USD/năm, Zeth Couceiro, sáng lập công ty tuyển dụng tiền điện tử Plexus Resource Solutions, cho biết. So với các nhà phát triển tập trung vào Solidity - một trong những ngôn ngữ lập trình crypto lớn nhất - mức lương của những kiểm toán viên này thường cao hơn khoảng 20%.
“Lương họ cao như vậy vì ngoài nền tảng về coding, họ còn phải hiểu các lỗ hổng bảo mật được hình thành như thế nào,” Couceiro nói.
Trong năm nay, OpenZeppelin đã mở rộng đội ngũ nhân viên của mình lên 63%, thu hút các chuyên gia nghỉ việc ở các công ty crypto trong thời kỳ suy thoái, Steve Grant - người đứng đầu bộ phận tăng trưởng của công ty cho biết. Họ có kế hoạch tăng gấp đôi số lượng nhân viên vào năm 2022.
Nhưng một cuộc kiểm toán thường không đủ. Một nửa số dự án DeFi lớn bị tấn công trong quý 2/2022 đã được kiểm toán, theo báo cáo từ Beosin. Vì thế, các công ty crypto đang “cầu viện” đến các hacker “mũ trắng” - những người sử dụng kỹ năng để giúp các công ty bịt các lỗ hổng bảo mật, thay vì khai thác chúng.
Slope wallet gần đây đã đề nghị 10% bounty cho hacker đã đánh cắp tiền từ hơn 8,000 người dùng, miễn là họ trả 90% còn lại.
“Hầu hết các hacker thích kiếm nhiều tiền và kiếm tiền ‘sạch’. Họ muốn giữ tinh thần thoải mái thay vì lo lắng cả đời rằng mình sẽ bị bắt vì thực hiện hành vi phạm tội,” Adrian Hetman, trưởng nhóm công nghệ tại trang web thợ săn tiền thưởng Immunefi, có khách hàng bao gồm dự án MakerDAO, cho biết.
Phần thưởng cho việc tìm ra những sai sót lớn có thể lên đến 10 triệu USD, Hetman nói thêm.