Vừa mới phát hiện ra điều gì đó khiến tôi bực mình về lĩnh vực tiền điện tử. Tài khoản X của nhà phát triển Kaia bị xâm phạm từ tháng 3, và thành thật mà nói, điều này hoàn toàn thể hiện một điểm yếu mà toàn ngành vẫn bỏ qua.

Vậy chuyện là thế nào: @KaiaDevelopers bị hack, và nhóm đã phải phát đi cảnh báo khẩn cấp qua tài khoản chính của họ để mọi người tránh xa tài khoản bị xâm phạm. Phản ứng theo kiểu xử lý sự cố thông thường, đúng không? Nhưng vấn đề là—đây không phải là một sự cố riêng lẻ. Nó là một phần của một mô hình lớn hơn nhiều.

Hãy nghĩ xem. Chúng ta quá chú trọng vào các lỗ hổng hợp đồng thông minh, bỏ ra hàng triệu đô la để kiểm tra, và xây dựng hạ tầng bảo mật ngày càng tinh vi hơn. Nhưng làm sao mà con đường tấn công dễ nhất vẫn là một tài khoản mạng xã hội. Quỹ tin cậy của Ethereum Foundation bị tấn công bằng một trò lừa đảo livestream giả trong năm 2023, Compound Finance đối mặt với các liên kết lừa đảo trong năm 2024, Uniswap Labs bị xâm phạm Discord cùng năm đó. Danh sách còn dài.

Điều làm tôi chú ý là các tài khoản này nắm giữ lượng lớn vốn tin cậy. Một tài khoản nhà phát triển bị xâm phạm có thể lan truyền các liên kết độc hại tới hàng nghìn người theo dõi dự án. Phạm vi tấn công không phải là về kỹ thuật—mà là về xã hội. Và đó là thứ còn khó để phòng thủ hơn nhiều.

Nhóm Kaia đã làm đúng khi phản ứng nhanh chóng, nhưng các biện pháp phản ứng chỉ có giới hạn. Điều thực sự quan trọng là phòng ngừa. Các dự án cần bắt đầu xem các tài khoản mạng xã hội như các cơ sở hạ tầng quan trọng. Chìa khóa bảo mật phần cứng cho tất cả quyền đăng bài. Xác thực đa yếu tố thực sự có ý nghĩa. Thay đổi quyền truy cập định kỳ. Kiểm tra định kỳ ai có quyền gì.

Nhưng điều cần thiết nhất là: ngành cần có các chuẩn mực quy trình chuẩn cho những vấn đề này. Hiện tại, các tiêu chuẩn bảo mật còn rời rạc quá nhiều. Một số dự án coi trọng, số khác thì gần như không quan tâm. Sự không nhất quán đó chính là điểm mà kẻ tấn công lợi dụng.

Về cộng đồng, phòng thủ tốt nhất là kỷ luật xác thực. Khi bạn thấy một thông báo từ dự án, hãy kiểm tra nó qua nhiều kênh chính thức trước khi hành động. Truy cập trực tiếp vào website. Tìm kiếm chữ ký mã hóa nếu dự án hỗ trợ. Đừng chỉ nhấp vào các liên kết từ mạng xã hội, ngay cả khi chúng trông có vẻ hợp lệ.

Sự cố của Kaia là một lời nhắc nhở hữu ích rằng an ninh blockchain còn vượt xa mã nguồn. Đó là về hạ tầng truyền thông, kiểm soát truy cập, phản ứng sự cố, và nhận thức cộng đồng. Chúng ta cần tất cả những yếu tố này hoạt động cùng nhau, nếu không, chúng ta chỉ đang để mở cửa cho kẻ tấn công.

Đây là loại vấn đề nên thúc đẩy các tiêu chuẩn ngành tiến lên. Bởi vì thành thật mà nói, nếu chúng ta không thể bảo vệ một tài khoản Twitter, thì độ tin cậy của bất kỳ tuyên bố bảo mật nào khác chúng ta đưa ra là bao nhiêu?