“Nếu bạn nghĩ bảo mật crypto là vấn đề công nghệ, bạn đang bỏ lỡ điều quan trọng,” CEO Phemex Federico Variola chia sẻ

“Ngày càng khó để chứng minh bạn thật sự là chính mình.” Nhận định này của Federico Variola, CEO Phemex, nói lên lo ngại ngày càng lớn trong ngành crypto – và nỗi lo ấy không chỉ dừng lại ở vấn đề smart contract hay lỗi hạ tầng.

Trong một buổi tọa đàm gần đây cùng với Ian Rogers, Chief Experience Officer tại Ledger, và Dmitry Budorin, đồng sáng lập kiêm CEO công ty an ninh mạng Hacken, Variola đã chia sẻ về thực tế các mối đe dọa bảo mật trong lĩnh vực crypto. AI làm thay đổi công cụ, nhưng điểm yếu vẫn là con người – cách họ trò chuyện với nhau, đưa ra quyết định vội vàng và chọn ai để tin tưởng.

Tất cả nằm ở thói quen sinh hoạt thường ngày. Trên các sàn giao dịch và ví, mọi người đều hiểu rằng thói quen của mỗi người sẽ ảnh hưởng đến cách sự cố diễn ra. Theo Federico Variola, điều này ảnh hưởng trực tiếp đến việc sàn giao dịch thiết kế quy trình, tạo điều kiện khó khăn cũng như kiểm soát cách người dùng tương tác với ví, mạng xã hội hoặc danh tính on-chain.

Nhiều giá trị hơn, mục tiêu lớn hơn

Ngay từ đầu, Federico đã trả lời một câu hỏi mà cả ngành luôn tự hỏi: liệu bảo mật crypto ngày càng yếu đi, hay là hacker ngày càng mạnh hơn?

“Có thể nói rằng năm nay là năm tội phạm mạng tấn công khốc liệt nhất, năm sau còn tệ hơn nữa. Nhưng không phải vì chúng ta bảo mật yếu đi, mà do giá trị ngày càng lớn hơn. Khi giá trị tăng lên, phần thưởng lớn hơn. Và khi phần thưởng lớn, sẽ nhiều kẻ tìm cách để chiếm lấy.”

Khi thị trường crypto phát triển, lợi ích dành cho kẻ tấn công cũng tăng theo. Theo Variola, điều này luôn tạo ra thế mất cân bằng, khi năng lực tấn công thường phát triển nhanh hơn các biện pháp phòng ngừa, nhất là khi thị trường sôi động.

“Chúng ta có lẽ đang ở giai đoạn giữa, nơi mà khả năng tấn công tăng nhanh hơn biện pháp bảo vệ. Cứ mỗi đợt thị trường tăng trưởng, sẽ có người cực kỳ hợp lý thuyết phục bạn nên cắt giảm bảo mật hay tự giữ tài sản, hoặc cả hai, và rồi mọi thứ đều lại kết thúc như cũ.”

Rogers đã đơn giản hóa vấn đề bằng một ví dụ thực tế. Ngay cả người dày dạn kinh nghiệm trong crypto, kể cả đội phát triển ví, cũng không ít lần bị lừa bởi các đường link giả mạo trên Discord hay trình duyệt ví. Ý của ông là: Dù có kinh nghiệm vẫn luôn phải cảnh giác cao độ.

Khi danh tính trở thành điểm yếu

Theo Variola, sự thay đổi lớn nhất hiện tại là ở cách thức các đợt tấn công được thực hiện.

“Nhiều đối tượng tấn công được hậu thuẫn tốt, có khi là của nhà nước, di chuyển với tốc độ khó ai bám kịp. Đồng thời, AI và tự động hóa là con dao hai lưỡi – người dùng được thì hacker cũng dùng được. Dạng tấn công xã hội ngày càng tinh vi. Đã có lần hình ảnh tôi bị lấy làm giả trong cuộc gọi video để lừa các nhà đầu tư hoặc đối tác.”

Ian Rogers bổ sung thêm, từ góc độ ví cứng, rằng nhiều cuộc tấn công bây giờ tập trung vào yếu tố tâm lý hơn là công nghệ. Đối với Variola, điều đó tương tự như thực tế trên sàn giao dịch: việc thuyết phục con người luôn dễ hơn hack hệ thống công nghệ.

Rogers cũng nhận xét trong buổi thảo luận: “Ai trong chúng ta cũng có thể bị lừa.” Ngay cả trong những đội ngũ đã quen với crypto, sự kết hợp giữa tâm lý chủ quan, cảm giác gấp gáp và kỹ thuật lừa đảo tinh vi cũng có thể vượt qua các quy trình bảo mật nghiêm ngặt nhất.

Thực tế về sàn giao dịch: Lạnh, nóng và yếu tố con người

Từ góc nhìn của một sàn giao dịch, Federico phân biệt rất rõ giữa cam kết và giả định.

“Những gì chúng tôi cam kết bảo vệ cho người dùng bắt buộc phải tuyệt đối an toàn, và đó chính là ví lạnh. Không thể thương lượng về điều này. Ví nóng, do luôn kết nối internet, bản chất đã có rủi ro tiềm ẩn.”

Khi thị trường hoạt động sôi động, mức rủi ro này càng gia tăng.

“Khi thị trường tăng giá, nhà đầu tư nhỏ lẻ thường kỳ vọng ví nóng luôn dồi dào tài sản. Họ di chuyển nhanh, giao dịch lớn, đặc biệt với các altcoin. Nhu cầu từ người dùng rất áp lực.”

Lúc này, sự căng thẳng nảy sinh. Người dùng muốn thao tác nhanh, thuận tiện. Nhưng bảo mật lại đòi hỏi những rào cản nhất định.

“Dù người dùng có yêu cầu gì, bạn vẫn phải thêm lớp phòng ngừa để bảo vệ tài sản. Có nghĩa là đôi lúc phải ‘làm trái ý’ người dùng một chút.”

Đây là thực tế không dễ chịu với các sàn, nhưng Federico tin rằng đó là điều bắt buộc nếu muốn bảo vệ lâu dài, thay vì chỉ chiều ý nhất thời cho người dùng.

Những điều kinh nghiệm dạy bạn

Đồng thời trong tọa đàm, Variola cũng nhắc lại một sự cố bảo mật Phemex từng gặp vào năm ngoái.

“Một trong những bài học lớn nhất là nhận ra chúng tôi trở thành mục tiêu lớn hơn mình nghĩ rất nhiều.”

Và bài học quan trọng nhất là về con người.

“Chúng tôi đánh giá thấp mức độ phổ biến của phishing và các chiêu trò lừa đảo, cũng như việc kẻ xấu thường nhắm đến những vị trí thấp nhất trước – thực tập sinh, thiết kế viên, những người không nghĩ mình là nhân sự cốt cán – sau đó mới tìm cách leo lên những vị trí cấp cao hơn.”

Dmitry Budorin đưa ra một ví von rất dễ hiểu: phishing cũng giống như câu cá. Dù cá không ngu đến mức đớp mồi nhựa, chỉ cần khoảnh khắc bất cẩn, căng thẳng hay làm việc theo thói quen là hacker cũng đạt được mục đích. Theo ông, điều nguy hiểm là sự ‘chắc chắn sẽ xảy ra’.

Cách suy nghĩ này hoàn toàn giống với phương án bảo mật của Variola.

“Không chỉ kỹ sư hay lãnh đạo phải cẩn thận. Tất cả mọi người trong tổ chức phải hiểu rõ rủi ro mình đối mặt. Dù chỉ là thực tập sinh cũng cần nhận thức được điều này.”

Budorin còn nhấn mạnh rằng trong nhiều trường hợp, mục tiêu chính của hacker không phải là nhân viên mới, mà là CEO. Các gương mặt công khai, nhà sáng lập, giám đốc điều hành – vì quá nổi bật nên càng dễ bị tấn công trực tiếp.

Sau sự cố, Phemex đã nâng cấp bảo mật toàn diện, nhưng sự thay đổi lớn hơn là ở ý thức của từng thành viên trong công ty.

Các lớp xã hội và các lớp tài chính không nên trộn lẫn

“Crypto là một ngành rất mang tính xã hội. NFT, mạng xã hội, Telegram – tất cả những nền tảng này đều trở thành mục tiêu cho các hacker tấn công.”

Federico Variola đặc biệt chỉ trích việc các hoạt động nhạy cảm lại diễn ra quá thoải mái ở những môi trường vốn không chú trọng đến bảo mật.

“Telegram thực sự là một trong những nền tảng tệ nhất về mặt bảo mật, nhưng lại là chuẩn mực giao tiếp của cả ngành.”

Anh cũng bày tỏ lo lắng trước xu hướng mới ngày càng lan rộng liên quan đến việc theo dõi ví và công khai danh tính người sở hữu.

“Tôi không thích việc gắn ví với người dùng cụ thể. Điều này đi ngược với tinh thần của crypto. Tuy nhiên trên thực tế, thành công càng lớn trong ngành này thì bạn càng dễ trở thành mục tiêu và sẽ cần đầu tư nhiều hơn để bảo vệ bản thân.”

Phi tập trung làm thay đổi kinh tế học của các cuộc tấn công

Nhìn về tương lai, Variola cho rằng sự phi tập trung và tự quản lý tài sản cá nhân sẽ đóng vai trò quan trọng trong việc thay đổi cách ngành crypto tăng cường bảo mật.

“Khi việc phi tập trung trở nên phổ biến, trách nhiệm bảo mật cũng được chia đều ra nhiều điểm khác nhau. Hacker sẽ phải nhắm vào từng cá nhân thay vì tấn công vào một ‘điểm yếu duy nhất’.”

Điều này không loại bỏ rủi ro, mà chỉ là chuyển dịch rủi ro sang các vị trí khác.

“Các DEX và nền tảng phi tập trung cũng có những thách thức riêng. Code là luật. Bạn không thể dừng một chuỗi nếu có sự cố. Sẽ xuất hiện nhiều rủi ro mới, nhưng nhìn chung, tôi nghĩ đây là hướng tích cực cho ngành.”

Với các sàn giao dịch tập trung, điều này nghĩa là phải thích nghi, không thể đi ngược lại xu thế.

“Các nền tảng tập trung sẽ không biến mất, nhưng chúng ta phải phát triển thêm. Cách bảo mật cũng cần thay đổi cùng với thói quen của người dùng.”

Những đồng crypto nào vẫn còn tiếp tục cạnh tranh sau 5 năm nữa

Nhìn về phía trước, Federico Variola không xem thách thức bảo mật là vấn đề mà crypto có thể “giải quyết dứt điểm” rồi bỏ qua.

“AI sẽ là thách thức lớn nhất,” anh nói. “Trong tương lai xa hơn, điện toán lượng tử sẽ tăng thêm một lớp rủi ro khác.”

Khi được hỏi về việc AI hỗ trợ ‘người bảo vệ’ tốt như ‘kẻ tấn công’ không, anh trả lời rất rõ ràng: “Thật không may, tôi nghĩ AI giúp cho hacker mạnh lên nhiều hơn là giúp người dùng an toàn.”

Variola cho rằng đây là thời điểm trưởng thành của ngành. Crypto đang thu hút rất nhiều nhân tài về công nghệ, và bảo mật dần trở thành một phần thiết yếu trong cách các công ty vận hành, giao tiếp hằng ngày. Trong một hệ thống hạn chế tối đa niềm tin vào bên ngoài, lúc này điều quan trọng là hiểu chỗ nào vẫn còn cần đặt sự tin tưởng, và làm sao để quản lý nó một cách hiệu quả.