Cầu nối Blockchain và các vấn đề bảo mật Cross-chain

Giới thiệu

Khả năng tương tác của blockchain là tính năng cốt lõi của công nghệ được các ứng dụng DeFi sử dụng rộng rãi hiện nay. Các nhà đầu tư cảm thấy hứng thú với lựa chọn kiếm lợi nhuận từ nhiều chuỗi đồng thời. Người dùng trên Bitcoin blockchain có thể kiếm lợi suất trên Ethereum blockchain, và những người trên Ethereum blockchain có lựa chọn chuyển tài sản của họ, hoặc các phiên bản wrapped của tài sản, sang các mạng khác để một blockchain duy trì kết nối với các blockchain khác. Tuy nhiên, khả năng tương tác và tính linh hoạt này không đến mà không có sự đánh đổi. Chúng làm phát sinh các vấn đề không tồn tại nếu tài sản vẫn ở trên một chuỗi.

Cầu nối Blockchain là gì?

Cầu nối blockchain là các công cụ cho phép người dùng chuyển dữ liệu, tin nhắn và tài sản từ mạng này sang mạng khác. Bạn nên biết rằng một blockchain là một hệ sinh thái khép kín, không thể giao tiếp với thế giới bên ngoài, cũng như với một blockchain khác. Chúng dựa vào oracle để nhận thông tin bên ngoài và các cầu nối để kết nối với các chuỗi khác. Với vai trò là trung gian, các cầu nối này khoá một loại tiền mã hoá trên một chuỗi và làm cho nó có thể sử dụng được trên các chuỗi khác dưới dạng phiên bản wrapped hoặc các dạng tương đương khác. Người dùng có lựa chọn thuận tiện này để tận dụng các ứng dụng, thanh khoản và cơ hội kiếm tiền không có sẵn trên chuỗi gốc của họ.

Các vấn đề bảo mật chính

Bất cứ khi nào bạn lấy tiền ra từ ví vật lý hoặc ví ảo của mình, nó có thể bị đánh cắp, bị chặn, hoặc bạn có thể bị lừa đảo để chuyển tiền của mình sang tài khoản của người khác một cách nhầm lẫn. Điều tương tự có thể xảy ra trong thế giới DeFi khi bạn chuyển tài sản kỹ thuật số của mình từ chuỗi này sang chuỗi khác. Theo phân tích ngành gần đây, các cầu nối cross-chain đã bị khai thác với tổng số khoảng 2,8 tỷ đô la tài sản bị đánh cắp tính đến giữa năm 2025. Con số cho thấy các cầu nối vẫn là mục tiêu chính của kẻ tấn công. Có thể có nhiều nguyên nhân khác nhau cho việc khai thác quy mô lớn như vậy.

1. Rủi ro của xác thực On-Chain yếu

Cầu nối blockchain có nhiều loại và kiểu khác nhau. Một số trong số chúng sử dụng bảo mật cấp độ cơ bản và những cái khác sử dụng bảo mật hợp đồng thông minh. Loại công cụ trước dựa nhiều vào backend tập trung để thực hiện các hoạt động cơ bản như đúc, đốt và chuyển token trong khi tất cả các xác minh được thực hiện ngoài chuỗi.

Các cầu nối sử dụng Hợp đồng thông minh cho bảo mật phần nào tốt hơn so với loại cầu nối khác. Hợp đồng thông minh xác thực tin nhắn và thực hiện xác minh trên chuỗi. Khi người dùng đưa tiền vào mạng blockchain, Hợp đồng thông minh tạo ra một tin nhắn đã ký làm bằng chứng. Chữ ký này sau đó được sử dụng để xác minh việc rút tiền trên các chuỗi khác. Đây là nơi phát sinh các lỗ hổng bảo mật. Kẻ tấn công có thể đánh cắp tiền di chuyển qua cầu nối nếu xác minh on-chain này gặp lỗi. Chúng hoặc là vượt qua xác minh trực tiếp, hoặc giả mạo các chữ ký cần thiết.

Hơn nữa, khi một cầu nối blockchain áp dụng khái niệm wrapped token, kẻ tấn công có thể chuyển các token đó vào tài khoản của chúng, tước đoạt tài sản của người gửi và người nhận. Ví dụ, một người dùng dự định gửi coin $ETH từ Ethereum blockchain sang Solana blockchain. Bây giờ, cầu nối nhận $ETH từ Ethereum blockchain và phát hành wrapped $ETH trên Solana blockchain. Vấn đề trở nên tồi tệ hơn khi các cầu nối yêu cầu phê duyệt vô hạn để tiết kiệm một số phí gas.

Hai điều nguy hiểm xảy ra bây giờ. Thứ nhất, nếu kẻ tấn công thành công trong việc chặn giao dịch, chúng rút cạn ví của người dùng do phê duyệt vô hạn. Thứ hai, phê duyệt vô hạn vẫn có hiệu lực rất lâu sau khi một giao dịch đã được thực hiện. Vì vậy, ngay cả khi giao dịch đầu tiên an toàn, người dùng có thể rời khỏi chuỗi, nhưng kẻ tấn công vẫn có thể khai thác lỗ hổng.

2. Các vấn đề liên quan đến xác minh ngoài chuỗi

Cầu nối blockchain thỉnh thoảng sử dụng hệ thống xác minh ngoài chuỗi ngoài xác minh on-chain, và điều này thậm chí còn nguy hiểm hơn. Trước khi đi vào chi tiết về rủi ro, cần phải hiểu cách hoạt động của hệ thống xác minh ngoài chuỗi. Hệ thống xác minh on-chain chạy trên chính blockchain nơi cầu nối kiểm tra chữ ký giao dịch hoặc xác minh giao dịch bằng Hợp đồng thông minh của riêng chúng. Nếu một cầu nối sử dụng xác minh ngoài chuỗi, nó dựa vào một máy chủ bên ngoài blockchain. Máy chủ kiểm tra chi tiết giao dịch và gửi báo cáo xác nhận đến chuỗi đích.

Ví dụ, một người dùng nạp token trên Solana blockchain và muốn sử dụng chúng trên Ethereum. Máy chủ cầu nối xác minh giao dịch đầu tiên và ký các hướng dẫn cho Ethereum blockchain. Điều này giống như chấp thuận thủ tục chỉ bằng cách nhìn vào biên lai, cái mà có thể là giả. Lỗ hổng chủ yếu là kết quả của quá nhiều quyền lực nằm trong tay các máy chủ cầu nối. Nếu kẻ tấn công có thể đánh lừa chúng, hệ thống bị xâm phạm.

3. Rủi ro xử lý sai Token gốc trong cầu nối Blockchain

Các cầu nối gửi Token gốc trực tiếp đến các mạng blockchain đích, nhưng chúng cần sự cho phép trước khi gửi các token khác. Chúng có các hệ thống tích hợp khác nhau để thực hiện các nhiệm vụ này. Vấn đề phát sinh khi các cầu nối vô tình không quản lý được sự phân biệt. Nếu một người dùng cố gắng chuyển token $ETH bằng cách sử dụng hệ thống dành cho Token tiện ích không phải gốc, họ mất tiền.

Rủi ro bổ sung xuất hiện khi các cầu nối cho phép người dùng nhập bất kỳ địa chỉ token nào. Nếu cầu nối không hạn chế nghiêm ngặt token nào nó chấp nhận, kẻ tấn công có thể khai thác sự tự do này. Mặc dù nhiều cầu nối sử dụng whitelist để chỉ cho phép các token được phê duyệt, Token gốc không có địa chỉ và thường được biểu diễn bằng một địa chỉ bằng không. Nếu trường hợp này được xử lý kém, kẻ tấn công có thể vượt qua các kiểm tra. Điều này có thể kích hoạt các giao dịch mà không có bất kỳ chuyển token thực tế nào, hiệu quả lừa cầu nối giải phóng tài sản mà nó chưa bao giờ nhận được.

4. Lỗi cấu hình có thể phá vỡ cầu nối Blockchain như thế nào

Cầu nối blockchain phụ thuộc vào các cài đặt quản trị viên đặc biệt để kiểm soát các hành động quan trọng. Các cài đặt này bao gồm phê duyệt token, quản lý người ký và thiết lập quy tắc xác minh. Nếu các cài đặt này sai, cầu nối có thể hoạt động sai. Trong một trường hợp thực tế, một thay đổi nhỏ trong quá trình Nâng cấp khiến hệ thống chấp nhận tất cả các tin nhắn là hợp lệ. Điều này cho phép kẻ tấn công gửi tin nhắn giả và vượt qua tất cả các kiểm tra, dẫn đến tổn thất nghiêm trọng.

Kết luận

Tóm lại, cầu nối blockchain cung cấp tiện ích tuyệt vời để kiếm tiền trên nhiều mạng chuỗi cùng một lúc, nhưng chúng cũng đặt ra những rủi ro nghiêm trọng mà bạn nên học cách quản lý nếu bạn sử dụng các công cụ này. Cầu nối blockchain đóng một vai trò quan trọng trong việc cho phép Khả năng tương tác của blockchain và mở rộng cơ hội DeFi, nhưng chúng vẫn là một trong những phần dễ bị tổn thương nhất của hệ sinh thái. Xác thực on-chain yếu, xác minh ngoài chuỗi rủi ro, xử lý sai Token gốc và lỗi cấu hình đơn giản đã khiến các cầu nối trở thành mục tiêu chính cho các cuộc khai thác quy mô lớn.

Khi hoạt động Cross-chain tiếp tục phát triển, người dùng và nhà phát triển phải ưu tiên Bảo mật tài khoản, hạn chế phê duyệt, ưu tiên các thiết kế được kiểm toán kỹ lưỡng và hiểu các rủi ro liên quan. Cuối cùng, kiến trúc cầu nối an toàn hơn và việc sử dụng có thông tin là điều cần thiết để đảm bảo rằng khả năng tương tác không đến với cái giá của tài sản bị mất.