Trí Tuệ Nhân Tạo và Ngành Công Nghiệp Tiền Điện Tử
Trí tuệ nhân tạo (AI) đã cung cấp cho các kẻ tấn công trong lĩnh vực tiền điện tử những công cụ tương tự như những gì mà các chuyên gia bảo mật sử dụng, dẫn đến việc ngành công nghiệp này phải chịu thiệt hại hàng tỷ đô la, theo nhận định của các chuyên gia.
Những Thách Thức Mới Từ AI
Mitchell Amador, CEO của Immunefi, đã chia sẻ với Decrypt rằng AI đã biến việc phát hiện lỗ hổng thành việc khai thác gần như ngay lập tức. Ông cho biết các công cụ kiểm toán tiên tiến mà công ty ông phát triển không còn là độc quyền của những người bảo vệ. “Nếu chúng ta có điều đó, liệu nhóm Lazarus của Bắc Triều Tiên có thể xây dựng công cụ tương tự không?” Amador đã đặt câu hỏi. “Câu trả lời là có.”
Đại lý kiểm toán AI của Immunefi vượt trội hơn hầu hết các công ty kiểm toán truyền thống, nhưng khả năng tương tự cũng nằm trong tầm tay của các hoạt động hack được tài trợ tốt, ông nhấn mạnh. “Các cuộc kiểm toán rất tuyệt, nhưng không đủ để theo kịp tốc độ đổi mới và sự cải thiện tích lũy của các kẻ tấn công,” ông nói.
Thực Trạng An Ninh Trong Ngành
Với hơn 3% tổng giá trị bị khóa bị đánh cắp trong toàn bộ hệ sinh thái vào năm 2024, Amador cho biết rằng trong khi an ninh không còn là một vấn đề thứ yếu, các dự án vẫn “vật lộn để biết cách đầu tư và phân bổ tài nguyên một cách hiệu quả.” Ngành công nghiệp đã chuyển từ “một vấn đề ưu tiên, điều này thật tuyệt vời” sang “một vấn đề kiến thức và giáo dục,” ông bổ sung.
AI cũng đã làm cho các cuộc tấn công kỹ thuật xã hội trở nên tinh vi và rẻ mạt hơn. “Bạn nghĩ cuộc gọi điện thoại đó tốn bao nhiêu?” ông hỏi, đề cập đến các cuộc gọi lừa đảo do AI tạo ra có thể giả mạo đồng nghiệp với độ chính xác đáng lo ngại.
Giải Pháp và Đề Xuất
Phản ứng của Immunefi là nhúng AI trực tiếp vào các kho lưu trữ GitHub và quy trình CI/CD của các nhà phát triển, nhằm phát hiện các lỗ hổng trước khi mã được đưa vào sản xuất. Ông lưu ý rằng cách tiếp cận này sẽ kích hoạt một “sự sụt giảm nhanh chóng” trong các cuộc tấn công DeFi trong vòng một đến hai năm.
Dmytro Matviiv, CEO của nền tảng tiền thưởng lỗi Web3 HackenProof, đã nói rằng “các cuộc kiểm toán thủ công sẽ luôn có một vị trí, nhưng vai trò của chúng sẽ thay đổi.”
Để phòng thủ chống lại các cuộc tấn công do AI điều khiển, Immunefi đã thực hiện chính sách chỉ cho phép danh sách trắng cho tất cả các tài nguyên và cơ sở hạ tầng của công ty, mà Amador cho biết đã “ngăn chặn hàng ngàn kỹ thuật lừa đảo nhắm mục tiêu rất hiệu quả.” Tuy nhiên, mức độ cảnh giác này không thực tế cho hầu hết các tổ chức.
Tiềm Năng và Thách Thức Tương Lai
Immunefi đã tạo điều kiện cho hơn 100 triệu đô la trong các khoản thanh toán cho các hacker mũ trắng, nhưng Amador đã nói rằng nền tảng này đã “đạt đến giới hạn” vì không có “đủ mắt” để cung cấp sự bao phủ cần thiết trong toàn ngành.
Trong khi đó, Matviiv đã nói rằng ông không nghĩ “chúng ta đang ở gần việc khai thác hết nguồn tài năng an ninh toàn cầu,” lưu ý rằng các nhà nghiên cứu mới tham gia các nền tảng hàng năm và tiến bộ nhanh chóng từ “các phát hiện đơn giản đến các lỗ hổng rất phức tạp.”
Tiền thưởng lỗi vẫn rất cần thiết vì “một cộng đồng bên ngoài đa dạng sẽ luôn ở vị trí tốt nhất để phát hiện các trường hợp ngoại lệ mà các hệ thống tự động hoặc các nhóm nội bộ bỏ lỡ,” Matviiv lưu ý.
Kết Luận
Mặc dù có những cải tiến về an ninh trong các lĩnh vực truyền thống như kiểm toán, quy trình CI/CD và tiền thưởng lỗi, Amador lưu ý rằng ngành công nghiệp “không hoạt động tốt” về an ninh multi-sig, lừa đảo nhắm mục tiêu, các biện pháp chống lừa đảo và bảo vệ cộng đồng.
Cuối cùng, Amador kêu gọi một “Nền tảng An ninh Thống nhất,” giải quyết nhiều vectơ tấn công, vì an ninh phân mảnh về cơ bản buộc các dự án phải “tự nghiên cứu” về các sản phẩm, giới hạn và quy trình làm việc.
