Nếu bạn đã ở trong web3 hơn năm phút, bạn đã bị lừa, suýt bị lừa, hoặc chỉ một cú nhấp chuột tồi tệ nữa là gia nhập câu lạc bộ. Đừng bận tâm đến những vụ lừa đảo lớn gây chú ý. Hãy xem xét những thứ thông thường như các pop-up giả mạo MetaMask, các liên kết hoán đổi trên sàn giao dịch phi tập trung trông có vẻ hợp lệ nhưng thực ra không phải, hoặc các trang cầu ngẫu nhiên mà Google vui vẻ đẩy lên đầu tìm kiếm của bạn.

Tóm tắt

• Lừa đảo đang bùng nổ — gian lận tiền điện tử đã đạt ít nhất 9,9 tỷ USD vào năm 2024, với các hình thức lừa đảo ngày càng tinh vi và các trang DeFi giả mạo làm suy giảm niềm tin ngay cả của những người dùng có kinh nghiệm.
• An ninh được coi là tùy chọn — bất chấp các công cụ có sẵn, bảo vệ chống lừa đảo không được tích hợp vào cơ sở hạ tầng cốt lõi, khiến việc áp dụng bị đình trệ do lo ngại về sự an toàn.
• Rủi ro lượng tử đang đe dọa — đến năm 2030, các hệ thống phải áp dụng mật mã hậu lượng tử; nếu không, kết hợp với lừa đảo, web3 sẽ đối mặt với cuộc khủng hoảng uy tín.
• Sự cấp bách cho hành động trong ngành — an ninh phải được ưu tiên như mở rộng hoặc lợi suất DeFi, nếu không thì những vụ hack hàng tỷ đô la trong tương lai sẽ buộc phải sửa chữa quá muộn.

Vào năm 2024, các vụ lừa đảo tiền điện tử đã tạo ra ít nhất 9,9 tỷ đô la doanh thu bất hợp pháp, với Chainalysis cảnh báo rằng tổng số có thể đạt kỷ lục 12,4 tỷ đô la khi có thêm dữ liệu. Sự gian lận trong lĩnh vực này đang trở nên tinh vi hơn, với việc kẻ lừa đảo sử dụng nhiều trang lừa đảo thuyết phục hơn, các nền tảng tài chính phi tập trung giả mạo và các chiến thuật kỹ thuật xã hội. Sự tinh vi này làm cho việc phát hiện trở nên khó khăn hơn và tổn thất lớn hơn, làm suy giảm niềm tin của người dùng. Ngay cả những nhà giao dịch có kinh nghiệm cũng bị mắc kẹt.

Và thế nhưng, cộng đồng tiền mã hóa rộng lớn hơn thường xem điều này là chi phí của việc kinh doanh, điều này thật điên rồ. Hãy tưởng tượng nếu mỗi lần bạn đăng nhập vào ngân hàng trực tuyến, có một khả năng một trong mười là một trang giả mạo. Mọi người sẽ nổi loạn. Tuy nhiên, trong web3, mọi người chỉ nhún vai; họ tweet "hãy an toàn, anon" và hy vọng cho điều tốt nhất.

Đây là một vấn đề có thể khắc phục

Công nghệ đã tồn tại để phát hiện các trang web lừa đảo, hợp đồng thông minh giả và cầu độc hại trước khi bạn tương tác với chúng. Vấn đề là điều này đã được coi là một tính năng tùy chọn thay vì là một phần cốt lõi của hệ thống. Mọi người đang mất hàng ngàn đô la hàng tuần khi hoán đổi token trên những gì trông giống như giao diện sàn giao dịch hợp pháp. Điều duy nhất cứu họ thường là một công cụ bảo mật dựa trên trình duyệt cảnh báo trang ngay trước khi họ nhấn "Xác nhận."

Việc coi lừa đảo trực tuyến như một vấn đề an ninh cá nhân là một cách đánh giá quá thấp ảnh hưởng của nó trong thị trường rộng lớn hơn. Việc áp dụng từ phía người tiêu dùng không bị chậm lại vì công nghệ chưa đủ khả năng mở rộng. Nó bị chậm lại vì mọi người không tin rằng tiền của họ an toàn. Trong khi một số người sẽ lập luận rằng các lớp bảo mật chỉ là những điểm thất bại trung tâm, đã có một sự phụ thuộc đáng kể vào các nhà cung cấp hạ tầng, các chỉ số, các nút gọi quy trình từ xa, ví, và hàng tá các điểm nghẽn khác. Việc giả vờ rằng việc thêm bảo vệ chống lừa đảo mạnh mẽ nào đó làm suy giảm tinh thần là một lý do yếu ớt, xét đến những rủi ro cao.

Bom hẹn giờ máy tính lượng tử

Có một vấn đề khác mà hầu hết mọi người chưa nghĩ đến đủ: an ninh hậu lượng tử. Chính phủ Hoa Kỳ đã đặt ra thời hạn, rằng tất cả các hệ thống phải chuyển sang mã hóa hậu lượng tử trước năm 2030, với các thuật toán cũ sẽ bị loại bỏ hoàn toàn vào năm 2035, điều này có nghĩa là rất nhiều cơ sở hạ tầng blockchain hiện tại đang sống nhờ thời gian vay mượn. Kết hợp điều đó với các cuộc tấn công phishing không được kiểm soát, bạn sẽ có một cơn bão hoàn hảo cho sự sụp đổ niềm tin. Web3 sẽ không được coi trọng trong một thế giới hậu lượng tử nếu nó vẫn mất hàng tỷ vào các liên kết giả.

Cái ngụy biện lớn nhất là người dùng nên cẩn thận hơn. Người đi bộ nên nhìn cả hai bên trước khi qua đường, nhưng chúng ta vẫn có đèn giao thông vì một lý do. Mong đợi mọi chủ sở hữu ví mới nhận ra một liên kết lừa đảo ngay lập tức là điều không thực tế, đặc biệt khi những kẻ lừa đảo ngày càng giỏi trong việc giả mạo các nền tảng hợp pháp. Chúng ta đã dành nhiều năm để ám ảnh về việc mở rộng quy mô, khả năng sử dụng tổng hợp và tính thanh khoản xuyên chuỗi. Trong khi đó, phàn nàn số 1 của người dùng vẫn là: “Tôi đã mất tiền của mình.”

Cái giá cao hơn những gì mọi người nghĩ

Các trò lừa đảo gốc rễ trong tiền điện tử đang lan rộng xa hơn những ranh giới ban đầu của chúng. Chúng không còn bị giới hạn trong các sàn giao dịch hoặc các giao thức DeFi hào nhoáng; chúng đang xâm nhập ổn định vào các ngành liền kề và làm suy yếu niềm tin trên toàn bộ hệ sinh thái. Cầu và các xác thực vẫn là những mục tiêu rõ ràng, nhưng chúng không phải là những mục tiêu duy nhất. Các nhà cung cấp viễn thông, các nhà điều hành năng lượng, các nhà sản xuất Internet of Things, chuỗi cung ứng, và thậm chí các hệ thống phòng thủ tương tác với các thành phần dựa trên blockchain giờ đây là những điểm vào tiềm năng. Mỗi tích hợp mới tạo ra một bề mặt khác cho sự xâm phạm, một lối mở khác cho kẻ tấn công khai thác, và một yếu tố rủi ro khác làm suy yếu niềm tin của công chúng.

Nếu bạn là người lãnh đạo dự án, bạn đang đối mặt với hai thực tế không thoải mái. Thứ nhất, bảo mật chống lại lượng tử không phải là một cột mốc học thuật xa vời; nó đang tiến gần đến việc trở thành một yêu cầu quy định bắt buộc trong chưa đầy một thập kỷ. Thứ hai, mỗi cuộc tấn công lừa đảo nổi bật hoặc chiến dịch thu thập thông tin xác thực giữa bây giờ và thời hạn đó sẽ làm giảm cơ sở người dùng của bạn, uy tín của bạn và tổng giá trị bị khóa của bạn, thiệt hại này tích lũy âm thầm theo thời gian và khó phục hồi hơn nhiều so với việc ngăn chặn.

Bây giờ là thời điểm để hướng những đổi mới, nguồn vốn và sự lặp lại không ngừng tương đương vào kiến trúc bảo mật như đã được đầu tư vào việc farming lợi suất, phát hành token không thể thay thế và thanh khoản đa chuỗi. Web3 không thể tự tin gọi mình là tương lai của tài chính và hạ tầng dữ liệu trong khi tiếp tục coi việc lừa đảo là một vấn đề "lỗi người dùng". Vào một thời điểm nào đó, hệ sinh thái phải chịu trách nhiệm.

Nhìn lại, chúng ta gần như chắc chắn sẽ tự hỏi tại sao ngành công nghiệp lại chịu đựng những lỗ hổng rõ ràng như vậy trong thời gian dài và tại sao nó không giải quyết vấn đề lừa đảo quy mô lớn sớm hơn. Phần khích lệ là vấn đề này có thể giải quyết được với sự ưu tiên và lựa chọn thiết kế đúng đắn. Câu hỏi thực sự còn lại chỉ là liệu ngành công nghiệp sẽ chủ động bây giờ hay chờ đợi cho đến khi vụ hack tỷ đô tiếp theo buộc họ phải hành động.

David Carvalho

David Carvalho là người sáng lập, Giám đốc điều hành và Nhà khoa học chính của Naoris Protocol, giải pháp an ninh phi tập trung đầu tiên trên thế giới được hỗ trợ bởi một blockchain hậu lượng tử và AI phân tán, được Tim Draper và cựu Giám đốc Tình báo của NATO ủng hộ. Với hơn 20 năm kinh nghiệm với vai trò Giám đốc An ninh Thông tin Toàn cầu và hacker đạo đức, David đã làm việc ở cả cấp độ kỹ thuật và C-suite tại các tổ chức trị giá hàng tỷ đô la trên khắp châu Âu và Vương quốc Anh. Ông là một cố vấn đáng tin cậy cho các quốc gia và cơ sở hạ tầng quan trọng dưới sự bảo trợ của NATO, tập trung vào chiến tranh mạng, khủng bố mạng và gián điệp mạng. Là một người tiên phong trong lĩnh vực blockchain từ năm 2013, David đã đóng góp vào các đổi mới trong khai thác PoS/PoW và an ninh mạng thế hệ tiếp theo. Công việc của ông nhấn mạnh việc giảm thiểu rủi ro, tạo ra tài sản một cách đạo đức và những tiến bộ dựa trên giá trị trong crypto, tự động hóa và AI Phân tán.