Tài liệu trắng của Google tiết lộ máy tính lượng tử có thể gây thiệt hại nghiêm trọng cho Ethereum; các ví cá voi, khóa quản lý của DeFi và hệ thống staking đối mặt rủi ro ở quy mô hàng nghìn tỷ USD.
Nhóm Google Quantum AI hôm thứ Hai đã công bố báo cáo mới nhất. Hầu như toàn bộ sự chú ý của cộng đồng tiền mã hóa đều dồn vào Bitcoin: có thể bẻ khóa trong 9 phút, tỷ lệ bị mất trộm lên tới 41% và 6,9 triệu BTC đang nằm trong vùng rủi ro. Trong khi đó, phần viết về “Ether” trong báo cáo lại bị thị trường phớt lờ; nhưng trên thực tế, rủi ro ẩn chứa trong đó còn kinh hoàng hơn, xứng đáng để tất cả nhà đầu tư đặt trong mức cảnh báo cao nhất.
Tài liệu trắng này, do Google, các nghiên cứu viên cốt lõi của Ethereum Foundation là Justin Drake và bậc thầy mật mã Dan Boneh của Đại học Stanford cùng đồng viết, phân tích “5 lộ trình chí mạng” mà máy tính lượng tử trong tương lai có thể phá được Ethereum. Đồng thời, mỗi lộ trình đều có thể nhắm chính xác vào những mạch máu khác nhau của Ether; nếu ước tính theo giá hiện tại, quy mô tài sản trực tiếp phơi bày rủi ro đã vượt 1.000 tỷ USD. Nếu kích hoạt hiệu ứng domino, thảm họa sẽ khó có thể lường trước.
Nguồn ảnh: Google
- Ví cá voi “chạy trần”
Trong thế giới Bitcoin, “công khai khóa” của người dùng có thể được giấu sau hàm băm (Hash, một loại dấu vân tay kỹ thuật số) trước khi được chi tiêu thực tế. Nhưng trên Ethereum, chỉ cần người dùng gửi một giao dịch, công khai khóa sẽ được “công khai vĩnh viễn” trên blockchain. Trừ khi hoàn toàn từ bỏ tài khoản đó và chuyển tiền đi, còn không thì thực sự không thể thay đổi.
Nhóm Google ước tính rằng, hiện các ví cá voi nằm trong top 1.000 theo số dư ETH (tổng nắm khoảng 20,5 triệu Ether) đã hoàn toàn bị đặt vào vùng rủi ro. Nếu máy tính lượng tử chỉ cần 9 phút để bẻ khóa một bộ khóa riêng, thì trong chưa đầy 9 ngày, 1.000 ví cá voi này sẽ bị càn quét sạch.
- “Quản trị viên siêu cấp” ghi sổ sống chết của DeFi
Trên Ethereum, các hợp đồng thông minh hỗ trợ cho mảng cho vay, giao dịch và phát hành stablecoin thường trao “quyền đặc biệt” cho một nhóm nhỏ quản trị viên, cho phép “quản trị viên siêu cấp” tạm dừng hợp đồng, nâng cấp mã nguồn, thậm chí chuyển một lượng vốn rất lớn. Báo cáo phát hiện ít nhất 70 hợp đồng lớn có khóa quản trị viên đã lộ ra trên chuỗi, liên quan đến khoảng 2,5 triệu Ether.
Điều đáng rợn người hơn nữa là phản ứng dây chuyền ngoài Ether. Các tài khoản quản trị viên này đồng thời nắm giữ “quyền đúc” của các stablecoin hàng đầu như USDT và USDC. Nói cách khác, một khi kẻ tấn công lượng tử xâm nhập được một trong các khóa đó, chúng có thể phát hành vô hạn token như thể in tiền, tạo ra phản ứng dây chuyền đối với toàn bộ thị trường cho vay sử dụng những token này làm tài sản thế chấp.
Tài liệu trắng ước tính rằng trên Ethereum, các stablecoin và tài sản token hóa có tổng giá trị lên tới 200 tỷ USD đều dựa vào những khóa quản trị viên mong manh này.
Nguồn ảnh: Google
- Layer2 dựa vào cùng một bộ mật mã
Để tăng tốc độ giao dịch, phần lớn giao dịch trên Ethereum được xử lý ngoài chuỗi thông qua các Layer 2 như Arbitrum và Optimism, rồi kết quả được trả lại. Nhưng vấn đề là: các công cụ mã hóa tích hợp sẵn của Ethereum mà các Layer2 này dựa vào, đều không có khả năng “kháng bẻ khóa lượng tử”.
Báo cáo ước tính sơ bộ rằng, trên các Layer2 lớn và các cầu nối cross-chain, ít nhất 15 triệu Ether đang phơi bày rủi ro. Hiện chỉ có một thứ được cho là an toàn: StarkNet, sử dụng thuật toán băm (không phải thuật toán chữ ký đường cong elliptic).
- Tấn công “hệ thống staking” làm tê liệt mạng
Ethereum dựa vào cơ chế “bằng chứng cổ phần (Proof-of-Stake, PoS)” để duy trì an ninh mạng. Theo đó, các xác thực viên bỏ phiếu để quyết định giao dịch nào là hợp lệ. Tuy nhiên, báo cáo cho rằng cơ chế xác thực chữ ký số được dùng cho các lá phiếu này cũng rất dễ bị máy tính lượng tử phá giải.
Hiện trên toàn mạng có khoảng 37 triệu Ether đang ở trạng thái được staking. Nếu kẻ tấn công thành công kiểm soát một phần ba số nút xác thực, mạng sẽ bị tê liệt, khiến giao dịch không thể được xác nhận; nếu nắm giữ hai phần ba số nút xác thực, kẻ tấn công thậm chí có thể “một tay che cả bầu trời”, trực tiếp sửa đổi lịch sử ghi trên blockchain.
Báo cáo cũng đặc biệt cảnh báo rằng nếu số lượng token staking bị tập trung quá mức vào các quỹ vốn lớn (ví dụ Lido với khoảng 20% thị phần), thì kẻ tấn công chỉ cần dồn lực tấn công cơ sở hạ tầng của một nhà cung cấp duy nhất, là có thể rút ngắn đáng kể thời gian tấn công.
- “Lỗ hổng vĩnh viễn” chỉ cần bẻ khóa một lần
Báo cáo cũng nhắc đến một lộ trình tấn công đặc biệt nhất và đáng lo nhất. Ethereum sử dụng một hệ thống tên là “Data Availability Sampling” (lấy mẫu tính sẵn sàng dữ liệu) để xác minh dữ liệu giao dịch do Layer2 trả về có thực sự tồn tại hay không. Ngay trong cấu hình ban đầu, hệ thống này đã tạo ra một bộ “con số tuyệt mật” đáng lẽ sau đó phải bị hủy hoàn toàn.
Kẻ tấn công, một khi sử dụng máy tính lượng tử, có thể khôi phục bộ “con số tuyệt mật” này từ dữ liệu công khai. Điều đáng sợ nhất là: chỉ cần bẻ khóa một lần, bộ “con số tuyệt mật” đó sẽ trở thành một bộ công cụ có thể vận hành vĩnh viễn. Kẻ tấn công ngay cả khi không dùng máy tính lượng tử cũng có thể giả mạo vĩnh viễn các bằng chứng xác thực dữ liệu.
Ngay cả đội ngũ Google cũng ví rằng công cụ lỗ hổng này “có giá trị giao dịch cao”. Khi nó chảy vào chợ đen, toàn bộ các mạng Layer2 phụ thuộc vào hệ thống dữ liệu Ethereum Blob sẽ bị ảnh hưởng.
Cuộc chiến phòng thủ và điểm yếu của Ethereum nhằm cứu cả khối tài sản 100 tỷ USD
Tất nhiên, phe Ethereum không ngồi yên chịu trận. Justin Drake, người vừa là nhà nghiên cứu của Ethereum Foundation đồng tác giả tài liệu trắng, tiết lộ rằng quỹ đã chính thức khởi động cổng nghiên cứu “hậu lượng tử (Post-quantum)” từ tuần trước, đồng thời cho biết các nghiên cứu liên quan đã được duy trì hơn 8 năm. Hiện tại, testnet đang được đẩy tiến triển đều đặn mỗi tuần và quỹ đã vạch ra lộ trình nâng cấp hard fork theo nhiều giai đoạn, nhằm nỗ lực tích hợp mật mã kháng lượng tử toàn diện trước năm 2029.
Ngoài ra, so với Bitcoin cứ 10 phút lại tạo ra một khối, Ethereum chỉ cần 12 giây cho thời gian tạo khối cực nhanh, khiến việc kẻ tấn công phát động chặn giao dịch tức thời trở nên khó khăn hơn đáng kể.
Tuy nhiên, tài liệu trắng cũng nhắc nhở: cho dù mạng chính Ethereum có nâng cấp thành công, thì hàng nghìn hợp đồng thông minh vốn đã được triển khai trên chuỗi từ trước sẽ không tự động miễn nhiễm theo.
Điều này có nghĩa là: mỗi giao thức DeFi, mỗi cây cầu cross-chain, mỗi mạng Layer2 đều phải tự nâng cấp mã nguồn và thay khóa. Trong thế giới phi tập trung, không có bất kỳ cơ quan trung ương nào có thể buộc mọi người bấm nút nâng cấp. Với hệ sinh thái tiền mã hóa, cuộc chiến sinh tồn chạy đua với công nghệ lượng tử này vừa mới nổ súng khởi động.
- Bài viết được đăng lại với sự cho phép từ: 《Blockgeek》
- Tiêu đề gốc: 《“5 lộ trình tấn công lượng tử” bị lộ! Google cảnh báo: tài sản 100 tỷ USD trên Ethereum đang bị đe dọa》
- Tác giả gốc: Blockme MEL
