(SeaPRwire) – Cuộc trò chuyện của tôi với anh Nguyễn Minh Trí, một chuyên gia lâu năm trong lĩnh vực mật mã học và blockchain bảo mật tại một viện nghiên cứu hàng đầu, xoay quanh sự cố Orchard vừa qua. Anh Trí thẳng thắn chia sẻ góc nhìn mà ít thông cáo báo chí nào chạm tới: “Đây không đơn thuần là một bản vá thành công. Nó là lời cảnh tỉnh rõ ràng rằng ngay cả những giao thức zero-knowledge proof tinh vi nhất, như zk-SNARKs của Zcash, cũng không phải là ‘pháo đài bất khả xâm phạm’. Lỗi ‘soundness bug’ trong mạch Orchard Action, về lý thuyết, có thể dẫn đến double-spend – nghĩa là phá vỡ nguyên tắc cốt lõi nhất của bất kỳ blockchain nào. May mắn là chưa bị khai thác, nhưng nó đặt ra câu hỏi lớn: Khi các hệ thống bảo mật trở nên phức tạp hơn để theo đuổi tính riêng tư tuyệt đối, liệu chúng ta có đang tạo ra nhiều điểm thất bại tiềm ẩn hơn? Cách Zcash Foundation xử lý – từ soft fork khẩn cấp đến hard fork có kiểm soát – cho thấy một quy trình ứng phó sự cố chuyên nghiệp. Nhưng bài học thực sự nằm ở áp lực kiểm toán và chứng minh tính đúng đắn của các mạch mật mã ngày càng tăng.”
Sự việc bắt đầu khi nhà nghiên cứu bảo mật độc lập Taylor Hornby phát hiện và báo cáo một lỗ hổng nghiêm trọng trong mạch Orchard Action của Zcash vào ngày 29/5. Lỗi này, nếu bị khai thác, có thể cho phép kẻ tấn công thực hiện giao dịch double-spend trong nhóm Orchard, đe dọa tính toàn vẹn của mạng lưới. Ngay lập tức, Zcash Foundation đã phối hợp bí mật với các thợ đào và sàn giao dịch từ ngày 31/5 để hạn chế rủi ro bị khai thác trước khi công bố công khai.
Giải pháp tức thời được triển khai là bản nâng cấp khẩn cấp Zebra 4.5.3. Phiên bản này kích hoạt một soft fork trên mainnet tại block height 3,363,426, tạm thời từ chối tất cả các giao dịch và block chứa “Orchard actions”. Hành động này như một biện pháp phong tỏa khẩn cấp, vô hiệu hóa khu vực chứa lỗ hổng trong khi các kỹ sư chuẩn bị bản sửa lỗi triệt để cho mạch zero-knowledge proof. Trong thời gian này, các giao dịch sử dụng giao thức Sapling cũ hơn và giao dịch minh bạch (transparent) vẫn hoạt động bình thường, và Zcash Foundation khẳng định quyền riêng tư của người dùng không bị ảnh hưởng.
Sau đó, bản cập nhật chính thức và dài hạn, Zebra 5.0.0, đã được phát hành. Phiên bản này kích hoạt hard fork NU6.2 tại block height 3,364,600. Lý do cần đến hard fork là vì bản sửa lỗi cho mạch yêu cầu một “verifying key” mới được ghim cố định. NU6.2 định tuyến lại các bằng chứng Orchard đến khóa xác minh mới này, chính thức khôi phục toàn bộ chức năng giao dịch được bảo vệ (shielded) của Orchard và đóng vĩnh viễn lỗ hổng đã biết. Zcash Foundation nhấn mạnh rằng không có bằng chứng nào cho thấy lỗ hổng bị khai thác trước khi được vá, không có giá trị nào được tạo ra trái phép, và tổng nguồn cung của mạng lưới vẫn nguyên vẹn. Đây là lần nâng cấp giao thức thứ hai vì lý do bảo mật trong lịch sử Zcash kể từ khi ra mắt năm 2016. Hiện tại, tất cả các nhà vận hành node Zebra được khuyến cáo mạnh mẽ nâng cấp lên phiên bản 5.0.0 để duy trì tính tương thích với mạng lưới sau hard fork NU6.2.
Nhìn rộng ra, sự kiện này không chỉ là câu chuyện của riêng Zcash. Nó phản ánh một thách thức chung của cả ngành công nghiệp blockchain tập trung vào quyền riêng tư (privacy-centric blockchain). Cuộc chạy đua để đạt được khả năng ẩn danh hoàn toàn và có thể kiểm chứng được đang đẩy các kỹ thuật mật mã như zk-SNARKs và zk-STARKs đến giới hạn phức tạp chưa từng có. Mỗi dòng code, mỗi mạch điện tử (circuit) trong các giao thức này đều trở thành một điểm mấu chốt cần được kiểm toán với độ chính xác gần như tuyệt đối. Vụ việc Orchard cho thấy, dù cộng đồng mã nguồn mở và các nhà nghiên cứu độc lập vẫn đang làm rất tốt việc tìm kiếm lỗi, nhưng rủi ro vẫn luôn hiện hữu. Tương lai có thể sẽ chứng kiến sự phát triển của các công cụ kiểm tra hình thức (formal verification) tự động hóa hơn, và có lẽ là sự ra đời của các tiêu chuẩn kiểm toán bảo mật chuyên biệt cho mật mã học blockchain, tương tự như các tiêu chuẩn trong ngành an ninh mạng truyền thống. Sự tin cậy vào các giao thức riêng tư sẽ không chỉ được xây dựng bởi lời hứa về công nghệ, mà còn bởi một quy trình ứng phó minh bạch, nhanh chóng và hiệu quả mỗi khi công nghệ đó bộc lộ điểm yếu, giống như những gì vừa diễn ra.
Bài viết được cung cấp bởi nhà cung cấp nội dung bên thứ ba. SeaPRwire (https://www.seaprwire.com/) không đưa ra bảo đảm hoặc tuyên bố liên quan đến điều đó.
Lĩnh vực: Tin nổi bật, Tin tức hàng ngày
SeaPRwire cung cấp phát hành thông cáo báo chí thời gian thực cho các công ty và tổ chức, tiếp cận hơn 6.500 cửa hàng truyền thông, 86.000 biên tập viên và nhà báo, và 3,5 triệu máy tính để bàn chuyên nghiệp tại 90 quốc gia. SeaPRwire hỗ trợ phân phối thông cáo báo chí bằng tiếng Anh, tiếng Hàn, tiếng Nhật, tiếng Ả Rập, tiếng Trung Giản thể, tiếng Trung Truyền thống, tiếng Việt, tiếng Thái, tiếng Indonesia, tiếng Mã Lai, tiếng Đức, tiếng Nga, tiếng Pháp, tiếng Tây Ban Nha, tiếng Bồ Đào Nha và các ngôn ngữ khác.