DAO yếu kém mời gọi tấn công và thao túng?

[MrSpasybo]

Các tổ chức tự trị phi tập trung (DAO) đang ngày càng phổ biến cùng với sự phát triển của các tài sản và nền tảng blockchain. Mặc dù DAO cho phép hợp tác bình đẳng ở cấp độ mới giữa các thành viên cũng như chia sẻ lợi nhuận, nhưng họ gặp khó khăn khi nói đến vấn đề bảo mật và quản trị. Những vấn đề này cần được giải quyết trước khi DAO có thể đạt được tiềm năng và triển khai rộng rãi hơn.

Lỗ hổng bảo mật của DAO
DAO loại bỏ hình thức quản trị tập trung, truyền thống và thay thế bằng một hình thức mà tất cả các thành viên cộng đồng có thể đề xuất và bỏ phiếu về những thay đổi trong tương lai đối với một dự án hoặc tổ chức. Thông thường, trọng số biểu quyết tỷ lệ thuận với số lượng token quản trị được giữ trong một ví nhất định.

Do đó, DAO được coi là toàn diện và công bằng hơn so với các mô hình lãnh đạo truyền thống và nhanh chóng trở thành cách thức vận hành các dự án phi tập trung tiêu chuẩn. Điều này có ý nghĩa nhất định, vì các cơ chế tương tự định hình nền tảng nhất định cũng có thể tạo cơ sở cho việc quản trị nền tảng đó. Nhiều khả năng xu hướng này sẽ tiếp tục, nhưng có một vấn đề nổi cộm cần quan tâm là bảo mật DAO.

DAO có một số điểm chính liên quan đến các mối lo ngại về bảo mật tiềm ẩn. Đầu tiên là code hợp đồng thông minh. Nếu code này không toàn vẹn, thì không chỉ có thể phát sinh trục trặc mà thậm chí là mục tiêu tấn công khai thác. Nếu kẻ tấn công tìm thấy bất kỳ lỗ hổng nào trong logic của code, thì chúng có khả năng hoàn tác hoàn toàn cấu trúc hoặc nền kinh tế token của DAO. Điều này gây rất nhiều áp lực cho nhà phát triển để có được các hợp đồng thông minh hoàn hảo trước khi triển khai, nếu không, toàn bộ dự án có thể bị phá hủy trong vài phút.

Một ví dụ điển hình về loại rủi ro này là những gì đã xảy ra gần đây với Temple DAO. Temple DAO được thiết kế để cho phép người dùng tăng giá trị trong khi giảm thiểu mức độ biến động. Thật không may, do một điểm yếu trong code, kẻ tấn công đã giả mạo các hợp đồng staking cũ và tự ý di chuyển số dư, rút 2,3 triệu đô la từ DAO. Đây không phải là sự cố duy nhất về các hợp đồng thông minh có sai sót và nó cho thấy vấn đề dễ dàng lọt vào tầm ngắm như thế nào.

Một khía cạnh quan trọng khác cần quan tâm là bản chất của quản trị DAO. Cho đến ngày nay, nhiều DAO vẫn chỉ thực hiện bỏ phiếu theo trọng số token. Vấn đề nằm ở chỗ những người có hầu bao rủng rỉnh có khả năng tác động không tương xứng đến tương lai của dự án và thậm chí làm hỏng hoàn toàn DAO. Tập trung hóa cũng có thể len lỏi thông qua một cơ chế tinh vi hơn, trong đó nhiều thực thể có phần nắm giữ lớn cấu kết với nhau để trục lợi cá nhân, đi ngược lại lợi ích của cộng đồng.

Một sự kiện gần đây làm nổi bật lỗ hổng quản trị của DAO là Mango Markets, một sàn giao dịch phi tập trung được xây dựng trên Solana và được Mango DAO quản lý. Ban đầu, kẻ tấn công đã mua lượng lớn token MNGO để mở một vị thế Long, thậm chí sử dụng nhiều token hơn để pump giá của tài sản, sau đó rút tiền khỏi vị trí. Hành động này đã rút lượng tiền đáng kể từ DAO và thu về tay kẻ tấn công. Sau đó, kẻ tấn công sử dụng phần lớn lượng nắm giữ để đề xuất và chấp thuận họ sẽ được cấp số tiền còn lại từ DAO.

Là hệ quả từ hai vấn đề nêu trên, thẩm quyền và thời gian phản hồi cũng là điều gây trăn trở. Ngay cả khi DAO phát hiện cuộc tấn công sớm, không thực thể nào có thể nhanh chóng phản ứng để ngăn chặn luồng giao dịch và tự mình ngăn chặn cuộc tấn công. Các quyết định quan trọng như vậy sẽ yêu cầu cộng đồng bỏ phiếu và chỉ sau khi thông qua thì các hành động mới được thực hiện. Tất nhiên, điều này có thể mất một thời gian tùy thuộc vào quy mô và sự sẵn sàng của tất cả các thành viên. Thậm chí chậm trễ một hoặc hai giờ cũng đủ để gây ra thiệt hại lớn. Hãy tưởng tượng một ngân hàng bị cướp trong thời gian thực, nhưng bộ phận an ninh không thể đưa ra bất kỳ hành động nào cho đến khi toàn bộ ban giám đốc bỏ phiếu thông qua. Tất nhiên, hậu quả là khôn lường.

Tăng cường DAO chống lại các cuộc tấn công
Có nhiều điều quan trọng mà DAO có thể và cần phải làm nếu họ muốn giảm thiểu những rủi ro này. Bằng cách xây dựng một hệ thống kiểm tra và cân bằng toàn diện hơn, bảo mật DAO có thể được thắt chặt đáng kể.

Đầu tiên và quan trọng nhất là quy trình kiểm soát chất lượng rộng rãi cho code hợp đồng thông minh, bao gồm cả kiểm toán. Kiểm toán toàn diện và độc lập code là không thể thiếu và phải diễn ra thường xuyên nếu code vẫn đang phát triển. Kiểm toán là tuyến phòng thủ cuối cùng chống lại các lỗi bảo mật đang được đưa vào sản xuất và không bao giờ là thừa. Được bên thứ ba kiểm tra kỹ lưỡng từng code là cách tốt nhất để đạt được mức độ an toàn hợp lý trước khi phát hành. Ngoài việc chỉ xem xét các hợp đồng thông minh của dự án, các giao thức khác mà DAO tương tác chẳng hạn như token của bên thứ ba và thị trường DeFi cũng cần được đánh giá thấu đáo, vì một số vấn đề chỉ trở nên rõ ràng khi nhiều giao thức tích hợp theo những cách không mong muốn trước đây.

Tiếp theo, DAO cần được giám sát mạng theo thời gian thực. Như vậy, cần có phần mềm công khai sẵn sàng theo dõi và hiển thị các hoạt động của toàn bộ hệ sinh thái. Bằng cách này, có thể kịp thời nắm bắt các sự cố xảy ra, bằng cách ghi lại những khoảnh khắc các giao dịch lớn được thực hiện hoặc các chỉ số gây tò mò khác.

Để tận dụng lợi ích của việc kiểm toán và giám sát, các thành viên của DAO cũng cần phải xác định rõ vai trò của mình để ứng phó với những sự kiện này. Một số thành viên hoặc nhóm thành viên phải chịu trách nhiệm báo cáo hoạt động đáng ngờ hoặc các lỗ hổng rõ ràng được phát hiện. Cần phải có một chuỗi mệnh lệnh để thông tin nhạy cảm chỉ được cung cấp cho đúng người đến khi tìm ra giải pháp. Cuối cùng, các thành viên cần tham gia phải hiểu tất cả các giao thức để xác định, phổ biến và phản ứng, nếu không có thể xảy ra sự nhầm lẫn và hỗn loạn.

Cuối cùng, cũng cần có các kênh giao tiếp rõ ràng và minh bạch với cộng đồng. Nhận được thông tin thích hợp một cách kịp thời là rất quan trọng để cho thấy dự án đang ở trong tay những người tốt. Ngoài ra, nên khuyến khích các giải pháp bảo mật phi tập trung bằng cách đưa cơ sở người dùng lớn hơn vào cả quá trình phát triển và phản hồi của các hệ thống mới.

Bảo mật DAO không phải là một điều đơn giản. Không có chiến lược nào bao gồm tất cả các kịch bản. Hơn nữa, nó là một lĩnh vực vẫn đang phát triển. Điều này có nghĩa là không ai thực sự biết mọi vấn đề bảo mật có thể xảy ra một ngày nào đó, cũng như giải pháp hiệu quả. Tuy nhiên, hiện có rất nhiều việc có thể làm để DAO phù hợp hơn với mức độ an toàn cần để được chấp nhận rộng rãi. Chìa khóa nằm ở cả việc thu thập thông tin cũng như biết phải làm gì với thông tin đó. Bằng cách triển khai các phương pháp mới nhất, không có lý do gì để các tổ chức này phải tiếp tục gánh chịu những khoản lỗ hàng triệu đô la.

TapchiBTC