Quỹ Ethereum công bố báo cáo đầu tiên về "Chương trình An toàn 1 triệu đô la": Tổng hợp các thách thức sinh thái lớn về hợp đồng thông minh, cơ sở hạ tầng và an ninh đám mây...
Ethereum Foundation đã chính thức phát hành báo cáo đầu tiên về "Kế hoạch bảo mật một nghìn tỷ đô la Mỹ" "Tổng quan về các thách thức bảo mật" thông qua nền tảng X vào ngày hôm qua (10), bao gồm sáu khía cạnh: trải nghiệm người dùng, hợp đồng thông minh, cơ sở hạ tầng và bảo mật đám mây, giao thức đồng thuận, giám sát, ứng phó và giảm thiểu sự cố, cũng như lớp xã hội và quản trị. (Tóm tắt: Đề xuất mới của Ethereum: kiến trúc mô-đun + tăng cường quyền riêng tư để tuân thủ đặc tả dữ liệu GDPR của EU, các tính năng là gì? (Bổ sung cơ bản: Vitalik buột miệng nói "Kế hoạch nhảy vọt một năm của Ethereum": thông lượng sẽ tăng gấp 10 lần sau khi mở rộng L1) Ethereum Foundation đã công bố vào tháng trước về việc ra mắt sáng kiến "Bảo mật nghìn tỷ đô la (1TS)", nhằm đảm bảo rằng Ethereum có thể hỗ trợ hàng tỷ người dùng nắm giữ an toàn hơn 1 nghìn tỷ đô la tài sản trên chuỗi và mang lại cho các doanh nghiệp, tổ chức và chính phủ sự tự tin để lưu trữ và giao dịch nhiều hơn 1 trong một hợp đồng hoặc ứng dụng thông minh duy nhất Giá trị hàng nghìn tỷ đô la đã thúc đẩy Ethereum trở thành "cơ sở hạ tầng cấp độ văn minh" của nền kinh tế toàn cầu. Mới hôm qua (ngày 10), Ethereum Foundation đã chính thức phát hành báo cáo đầu tiên của dự án, "Tổng quan về thách thức bảo mật" thông qua nền tảng X. Báo cáo phân loại sáu thách thức bảo mật chính đối với hệ sinh thái Ethereum và đặt nền móng cho các giải pháp cho các vấn đề ưu tiên tiếp theo. Việc phát hành báo cáo đánh dấu một bước quan trọng trong việc Ethereum theo đuổi các tiêu chuẩn bảo mật cao hơn. 0. Tháng trước, chúng tôi đã công bố sáng kiến (1TS) bảo mật nghìn tỷ đô la: một nỗ lực trên toàn hệ sinh thái để nâng cấp bảo mật của Ethereum. Hôm nay chúng tôi sẽ phát hành báo cáo 1TS đầu tiên: tổng quan về những thách thức bảo mật hiện có trong hệ sinh thái Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) ngày 10 tháng 6 năm 2025 Phân tích chi tiết về sáu thách thức bảo mật của Ethereum Theo báo cáo "Tổng quan về các thách thức bảo mật hiện có trong hệ sinh thái Ethereum", Ethereum Foundation đang làm việc với người dùng, nhà phát triển và Dựa trên phản hồi sâu rộng từ các chuyên gia và tổ chức an ninh, những thách thức trong sáu lĩnh vực chính sau đây đã được xác định: 1. Trải nghiệm người dùng (UX) Giao diện mà người dùng tương tác với Ethereum là nguồn gốc trung tâm của các thách thức bảo mật và một lỗi duy nhất do tính nguyên tử (không thể đảo ngược) của các giao dịch có thể gây ra thiệt hại đáng kể. 1.1 Quản lý khóa riêng tư: Người dùng khó quản lý khóa riêng tư một cách an toàn, ghi nhớ ví phần mềm dễ được lưu trữ không an toàn, ví phần cứng có nguy cơ bị mất, hư hỏng hoặc tấn công chuỗi cung ứng. Do thay đổi nhân sự và yêu cầu tuân thủ của người dùng doanh nghiệp, việc quản lý khóa riêng tư trở nên khó khăn hơn. 1.2 Ký mù và không chắc chắn giao dịch: Người dùng thường mù quáng phê duyệt các giao dịch vì ví của họ hiển thị dữ liệu không xác định và dễ bị tấn công các hợp đồng độc hại, lừa đảo, gian lận hoặc giao diện người dùng. 1.3 Phê duyệt và quản lý quyền: Ví có phê duyệt không giới hạn và không có ngày hết hạn theo mặc định, đồng thời thiếu chức năng quản lý quyền, điều này làm tăng nguy cơ các ứng dụng độc hại hết tiền. 1.4 Giao diện web bị tấn công: Giao diện web dễ bị xâm chiếm quyền điều khiển DNS, chèn JavaScript độc hại, v.v., dẫn người dùng đến các hợp đồng độc hại hoặc ký các giao dịch gây hiểu lầm. 1.5 Quyền riêng tư: Bảo vệ quyền riêng tư yếu khiến người dùng có nguy cơ bị lừa đảo, gian lận hoặc tấn công vật lý. Người dùng tổ chức cần tăng cường bảo vệ quyền riêng tư do tuân thủ hoặc nhu cầu kinh doanh. 1.6 Phân mảnh: Các ví khác nhau thiếu tính nhất quán trong việc hiển thị giao dịch, xử lý phê duyệt, v.v., điều này làm tăng khó khăn trong việc học tập của người dùng và rủi ro bảo mật. 2. Bảo mật hợp đồng thông minh Hợp đồng thông minh là một bề mặt tấn công lớn do tính minh bạch và mặc dù có những tiến bộ trong kiểm toán và công cụ, vẫn có những lỗ hổng và thách thức phát triển. 2.1 Lỗ hổng hợp đồng: bao gồm rủi ro nâng cấp, tấn công tái nhập, các thành phần chưa được kiểm toán, lỗi kiểm soát truy cập, độ phức tạp của giao thức chuỗi chéo và rủi ro mới của việc tạo mã AI. 2.2 Trải nghiệm nhà phát triển, công cụ và ngôn ngữ lập trình: Các công cụ thiếu các cài đặt trước bảo mật, phạm vi kiểm tra không đồng đều, áp dụng xác minh chính thức thấp, lỗi trình biên dịch và giới hạn ngôn ngữ, khiến việc triển khai các hợp đồng bảo mật trở nên khó khăn hơn. 2.3 Đánh giá rủi ro mã trên chuỗi: Khung đánh giá rủi ro hiện tại khó áp dụng cho các hợp đồng thông minh và người dùng tổ chức khó quản lý rủi ro do giả định rằng mã có thể được thay đổi và tập trung. 3. Cơ sở hạ tầng và bảo mật đám mây Cơ sở hạ tầng phụ thuộc vào Ethereum (ví dụ: chuỗi L2, RPC, dịch vụ đám mây) tạo thành bề mặt tấn công và tập trung làm tăng nguy cơ ngừng hoạt động và kiểm duyệt. 3.1 Chuỗi lớp thứ hai: L2 kết nối độ phức tạp của tài sản, chứng minh lỗi hệ thống và rủi ro thông đồng của ủy ban bảo mật có thể dẫn đến mất tiền hoặc đóng băng tài sản. 3.2 RPC và cơ sở hạ tầng nút: Dựa vào một số lượng nhỏ RPC và nhà cung cấp đám mây có thể chặn quyền truy cập của người dùng nếu họ ngoại tuyến hoặc bị kiểm duyệt. 3.3 Lỗ hổng cấp DNS: Chiếm quyền điều khiển DNS, tịch thu tên miền và lừa đảo các tên miền tương tự đe dọa bảo mật truy cập của người dùng. 3.4 Chuỗi cung ứng phần mềm và thư viện: Thư viện mã nguồn mở dễ bị chèn gói độc hại hoặc chiếm quyền điều khiển phụ thuộc, và là vectơ tấn công. 3.5 Dịch vụ phân phối giao diện người dùng và các rủi ro liên quan: Nếu CDN và nền tảng lưu trữ đám mây bị tấn công, chúng có thể cung cấp giao diện người dùng độc hại và ảnh hưởng đến bảo mật người dùng. 3.6 Đánh giá cấp độ nhà cung cấp dịch vụ Internet: ISP hoặc quốc gia có thể truy cập Ethereum thông qua chặn lưu lượng truy cập, lọc DNS, v.v. 4. Giao thức đồng thuận Giao thức đồng thuận Ethereum ổn định, nhưng rủi ro dài hạn cần được cải thiện để cải thiện khả năng kháng cự. 4.1 Lỗ hổng đồng thuận và rủi ro phục hồi: Các trường hợp biên (chẳng hạn như phân kỳ trình xác thực hoặc phân vùng mạng) có thể dẫn đến trì trệ đồng thuận hoặc mất tiền của trình xác thực. 4.2 Đa dạng khách hàng: Sự đa dạng của khách hàng bảo vệ mạng lưới, nhưng tỷ lệ chấp nhận của một số lượng nhỏ khách hàng là thấp và cần được cải thiện hơn nữa. 4.3 Tập trung đặt cược và thống trị nhóm: Tập trung các thỏa thuận đặt cược thanh khoản và các nhà khai thác lớn có thể dẫn đến rủi ro nắm bắt quản trị hoặc đồng nhất hóa. 4.4 Khoảng cách phối hợp và giảm thiểu xã hội không xác định: Thiếu một cơ chế rõ ràng để đối phó với các trình xác thực độc hại và quá trình giảm thiểu xã hội vẫn chưa hoàn thiện. 4.5 Các vectơ tấn công kinh tế và lý thuyết trò chơi: các cuộc tấn công kinh tế như tấn công tiêu hao, lối thoát chiến lược và thao túng MEV chưa được nghiên cứu đầy đủ. 4.6 Rủi ro lượng tử: Điện toán lượng tử có thể bẻ khóa công nghệ mã hóa hiện có và các sơ đồ kháng lượng tử cần được thiết kế trước. 5. Giám sát, ứng phó sự cố và giảm thiểu Các lỗ hổng bảo mật cần được giám sát và ứng phó hiệu quả, nhưng những thách thức hiện có hạn chế hiệu quả. Liên hệ với các nhóm bị ảnh hưởng: Khó liên lạc với các nhóm bị tấn công, trì hoãn việc thu hồi tài trợ. Vấn đề leo thang: khó phối hợp giữa các tổ chức và thiếu liên hệ trước. Phối hợp phản hồi: Cộng tác nhiều nhóm có thể dẫn đến nhầm lẫn và giảm hiệu quả. Khả năng giám sát không đủ: Giám sát on-chain và off-chain không đủ, gây khó khăn cho việc cảnh báo sớm. Quyền truy cập bảo hiểm: Hệ sinh thái tiền điện tử thiếu các tùy chọn bảo hiểm truyền thống, gây khó khăn cho việc giảm thiểu tổn thất. 6. Lớp xã hội và quản trị Cộng đồng và quản trị của Ethereum phải đối mặt với những rủi ro lâu dài ảnh hưởng đến bảo mật tổng thể. 6.1 Tập trung đặt cược: Một số lượng lớn sự tập trung đặt cược có thể dẫn đến việc nắm bắt quản trị, ảnh hưởng đến fork hoặc xem xét giao dịch. 6.2 Tập trung tài sản ngoài chuỗi: chủ sở hữu tài sản ngoài chuỗi...
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Quỹ Ethereum công bố báo cáo đầu tiên về "Chương trình An toàn 1 triệu đô la": Tổng hợp các thách thức sinh thái lớn về hợp đồng thông minh, cơ sở hạ tầng và an ninh đám mây...
Ethereum Foundation đã chính thức phát hành báo cáo đầu tiên về "Kế hoạch bảo mật một nghìn tỷ đô la Mỹ" "Tổng quan về các thách thức bảo mật" thông qua nền tảng X vào ngày hôm qua (10), bao gồm sáu khía cạnh: trải nghiệm người dùng, hợp đồng thông minh, cơ sở hạ tầng và bảo mật đám mây, giao thức đồng thuận, giám sát, ứng phó và giảm thiểu sự cố, cũng như lớp xã hội và quản trị. (Tóm tắt: Đề xuất mới của Ethereum: kiến trúc mô-đun + tăng cường quyền riêng tư để tuân thủ đặc tả dữ liệu GDPR của EU, các tính năng là gì? (Bổ sung cơ bản: Vitalik buột miệng nói "Kế hoạch nhảy vọt một năm của Ethereum": thông lượng sẽ tăng gấp 10 lần sau khi mở rộng L1) Ethereum Foundation đã công bố vào tháng trước về việc ra mắt sáng kiến "Bảo mật nghìn tỷ đô la (1TS)", nhằm đảm bảo rằng Ethereum có thể hỗ trợ hàng tỷ người dùng nắm giữ an toàn hơn 1 nghìn tỷ đô la tài sản trên chuỗi và mang lại cho các doanh nghiệp, tổ chức và chính phủ sự tự tin để lưu trữ và giao dịch nhiều hơn 1 trong một hợp đồng hoặc ứng dụng thông minh duy nhất Giá trị hàng nghìn tỷ đô la đã thúc đẩy Ethereum trở thành "cơ sở hạ tầng cấp độ văn minh" của nền kinh tế toàn cầu. Mới hôm qua (ngày 10), Ethereum Foundation đã chính thức phát hành báo cáo đầu tiên của dự án, "Tổng quan về thách thức bảo mật" thông qua nền tảng X. Báo cáo phân loại sáu thách thức bảo mật chính đối với hệ sinh thái Ethereum và đặt nền móng cho các giải pháp cho các vấn đề ưu tiên tiếp theo. Việc phát hành báo cáo đánh dấu một bước quan trọng trong việc Ethereum theo đuổi các tiêu chuẩn bảo mật cao hơn. 0. Tháng trước, chúng tôi đã công bố sáng kiến (1TS) bảo mật nghìn tỷ đô la: một nỗ lực trên toàn hệ sinh thái để nâng cấp bảo mật của Ethereum. Hôm nay chúng tôi sẽ phát hành báo cáo 1TS đầu tiên: tổng quan về những thách thức bảo mật hiện có trong hệ sinh thái Ethereum. pic.twitter.com/R1dhY34pDT — Ethereum Foundation (@ethereumfndn) ngày 10 tháng 6 năm 2025 Phân tích chi tiết về sáu thách thức bảo mật của Ethereum Theo báo cáo "Tổng quan về các thách thức bảo mật hiện có trong hệ sinh thái Ethereum", Ethereum Foundation đang làm việc với người dùng, nhà phát triển và Dựa trên phản hồi sâu rộng từ các chuyên gia và tổ chức an ninh, những thách thức trong sáu lĩnh vực chính sau đây đã được xác định: 1. Trải nghiệm người dùng (UX) Giao diện mà người dùng tương tác với Ethereum là nguồn gốc trung tâm của các thách thức bảo mật và một lỗi duy nhất do tính nguyên tử (không thể đảo ngược) của các giao dịch có thể gây ra thiệt hại đáng kể. 1.1 Quản lý khóa riêng tư: Người dùng khó quản lý khóa riêng tư một cách an toàn, ghi nhớ ví phần mềm dễ được lưu trữ không an toàn, ví phần cứng có nguy cơ bị mất, hư hỏng hoặc tấn công chuỗi cung ứng. Do thay đổi nhân sự và yêu cầu tuân thủ của người dùng doanh nghiệp, việc quản lý khóa riêng tư trở nên khó khăn hơn. 1.2 Ký mù và không chắc chắn giao dịch: Người dùng thường mù quáng phê duyệt các giao dịch vì ví của họ hiển thị dữ liệu không xác định và dễ bị tấn công các hợp đồng độc hại, lừa đảo, gian lận hoặc giao diện người dùng. 1.3 Phê duyệt và quản lý quyền: Ví có phê duyệt không giới hạn và không có ngày hết hạn theo mặc định, đồng thời thiếu chức năng quản lý quyền, điều này làm tăng nguy cơ các ứng dụng độc hại hết tiền. 1.4 Giao diện web bị tấn công: Giao diện web dễ bị xâm chiếm quyền điều khiển DNS, chèn JavaScript độc hại, v.v., dẫn người dùng đến các hợp đồng độc hại hoặc ký các giao dịch gây hiểu lầm. 1.5 Quyền riêng tư: Bảo vệ quyền riêng tư yếu khiến người dùng có nguy cơ bị lừa đảo, gian lận hoặc tấn công vật lý. Người dùng tổ chức cần tăng cường bảo vệ quyền riêng tư do tuân thủ hoặc nhu cầu kinh doanh. 1.6 Phân mảnh: Các ví khác nhau thiếu tính nhất quán trong việc hiển thị giao dịch, xử lý phê duyệt, v.v., điều này làm tăng khó khăn trong việc học tập của người dùng và rủi ro bảo mật. 2. Bảo mật hợp đồng thông minh Hợp đồng thông minh là một bề mặt tấn công lớn do tính minh bạch và mặc dù có những tiến bộ trong kiểm toán và công cụ, vẫn có những lỗ hổng và thách thức phát triển. 2.1 Lỗ hổng hợp đồng: bao gồm rủi ro nâng cấp, tấn công tái nhập, các thành phần chưa được kiểm toán, lỗi kiểm soát truy cập, độ phức tạp của giao thức chuỗi chéo và rủi ro mới của việc tạo mã AI. 2.2 Trải nghiệm nhà phát triển, công cụ và ngôn ngữ lập trình: Các công cụ thiếu các cài đặt trước bảo mật, phạm vi kiểm tra không đồng đều, áp dụng xác minh chính thức thấp, lỗi trình biên dịch và giới hạn ngôn ngữ, khiến việc triển khai các hợp đồng bảo mật trở nên khó khăn hơn. 2.3 Đánh giá rủi ro mã trên chuỗi: Khung đánh giá rủi ro hiện tại khó áp dụng cho các hợp đồng thông minh và người dùng tổ chức khó quản lý rủi ro do giả định rằng mã có thể được thay đổi và tập trung. 3. Cơ sở hạ tầng và bảo mật đám mây Cơ sở hạ tầng phụ thuộc vào Ethereum (ví dụ: chuỗi L2, RPC, dịch vụ đám mây) tạo thành bề mặt tấn công và tập trung làm tăng nguy cơ ngừng hoạt động và kiểm duyệt. 3.1 Chuỗi lớp thứ hai: L2 kết nối độ phức tạp của tài sản, chứng minh lỗi hệ thống và rủi ro thông đồng của ủy ban bảo mật có thể dẫn đến mất tiền hoặc đóng băng tài sản. 3.2 RPC và cơ sở hạ tầng nút: Dựa vào một số lượng nhỏ RPC và nhà cung cấp đám mây có thể chặn quyền truy cập của người dùng nếu họ ngoại tuyến hoặc bị kiểm duyệt. 3.3 Lỗ hổng cấp DNS: Chiếm quyền điều khiển DNS, tịch thu tên miền và lừa đảo các tên miền tương tự đe dọa bảo mật truy cập của người dùng. 3.4 Chuỗi cung ứng phần mềm và thư viện: Thư viện mã nguồn mở dễ bị chèn gói độc hại hoặc chiếm quyền điều khiển phụ thuộc, và là vectơ tấn công. 3.5 Dịch vụ phân phối giao diện người dùng và các rủi ro liên quan: Nếu CDN và nền tảng lưu trữ đám mây bị tấn công, chúng có thể cung cấp giao diện người dùng độc hại và ảnh hưởng đến bảo mật người dùng. 3.6 Đánh giá cấp độ nhà cung cấp dịch vụ Internet: ISP hoặc quốc gia có thể truy cập Ethereum thông qua chặn lưu lượng truy cập, lọc DNS, v.v. 4. Giao thức đồng thuận Giao thức đồng thuận Ethereum ổn định, nhưng rủi ro dài hạn cần được cải thiện để cải thiện khả năng kháng cự. 4.1 Lỗ hổng đồng thuận và rủi ro phục hồi: Các trường hợp biên (chẳng hạn như phân kỳ trình xác thực hoặc phân vùng mạng) có thể dẫn đến trì trệ đồng thuận hoặc mất tiền của trình xác thực. 4.2 Đa dạng khách hàng: Sự đa dạng của khách hàng bảo vệ mạng lưới, nhưng tỷ lệ chấp nhận của một số lượng nhỏ khách hàng là thấp và cần được cải thiện hơn nữa. 4.3 Tập trung đặt cược và thống trị nhóm: Tập trung các thỏa thuận đặt cược thanh khoản và các nhà khai thác lớn có thể dẫn đến rủi ro nắm bắt quản trị hoặc đồng nhất hóa. 4.4 Khoảng cách phối hợp và giảm thiểu xã hội không xác định: Thiếu một cơ chế rõ ràng để đối phó với các trình xác thực độc hại và quá trình giảm thiểu xã hội vẫn chưa hoàn thiện. 4.5 Các vectơ tấn công kinh tế và lý thuyết trò chơi: các cuộc tấn công kinh tế như tấn công tiêu hao, lối thoát chiến lược và thao túng MEV chưa được nghiên cứu đầy đủ. 4.6 Rủi ro lượng tử: Điện toán lượng tử có thể bẻ khóa công nghệ mã hóa hiện có và các sơ đồ kháng lượng tử cần được thiết kế trước. 5. Giám sát, ứng phó sự cố và giảm thiểu Các lỗ hổng bảo mật cần được giám sát và ứng phó hiệu quả, nhưng những thách thức hiện có hạn chế hiệu quả. Liên hệ với các nhóm bị ảnh hưởng: Khó liên lạc với các nhóm bị tấn công, trì hoãn việc thu hồi tài trợ. Vấn đề leo thang: khó phối hợp giữa các tổ chức và thiếu liên hệ trước. Phối hợp phản hồi: Cộng tác nhiều nhóm có thể dẫn đến nhầm lẫn và giảm hiệu quả. Khả năng giám sát không đủ: Giám sát on-chain và off-chain không đủ, gây khó khăn cho việc cảnh báo sớm. Quyền truy cập bảo hiểm: Hệ sinh thái tiền điện tử thiếu các tùy chọn bảo hiểm truyền thống, gây khó khăn cho việc giảm thiểu tổn thất. 6. Lớp xã hội và quản trị Cộng đồng và quản trị của Ethereum phải đối mặt với những rủi ro lâu dài ảnh hưởng đến bảo mật tổng thể. 6.1 Tập trung đặt cược: Một số lượng lớn sự tập trung đặt cược có thể dẫn đến việc nắm bắt quản trị, ảnh hưởng đến fork hoặc xem xét giao dịch. 6.2 Tập trung tài sản ngoài chuỗi: chủ sở hữu tài sản ngoài chuỗi...