Việc thiếu bảo vệ quyền riêng tư là Tội lỗi nguyên thủy của tất cả các chuỗi khối công khai – từ sách trắng Bitcoin ban đầu của Satoshi cho đến mạng song song, mô-đun và tiên tiến nhất thực hiện 100 triệu giao dịch mỗi giây với thời gian cuối cùng là zepto giây.

Nói chung, quyền riêng tư của người dùng đi ngược lại bản chất của chuỗi khối công khai: Để sổ cái công khai hoạt động, một số dữ liệu giao dịch phải được chia sẻ với các nút và người tham gia mạng. Con đường tắt để nhanh chóng đưa các hệ thống này lên mạng chỉ đơn giản là đặt mọi thứ ở chế độ công khai theo mặc định.

Tuy nhiên, sự minh bạch cuối cùng đó khiến người dùng phải chịu sự giám sát, ép buộc và những hậu quả không lường trước được như rò rỉ tín hiệu thương mại. Điều này không khả thi về mặt thương mại và xói mòn quyền quyết định số phận của một người. Quyền tự quản lý thực sự không thể tồn tại nếu người dùng không kiểm soát dữ liệu của họ; quyền riêng tư là khôi phục quyền tự do của người dùng trong việc lựa chọn những gì họ làm và không tiết lộ với thế giới bên ngoài.

Dưới đây là bảy lỗ hổng nghiêm trọng thường gặp trong các công cụ bảo mật tiền điện tử:

Tội lỗi 1 – Hệ thống tập trung

Trong một thế giới phi tập trung, tập trung hóa là Sự lười biếng. Việc chạy sổ cái trên cơ sở dữ liệu SQL nội bộ của ngân hàng sẽ dễ dàng hơn (nhanh hơn và rẻ hơn) hơn là gửi giao dịch trên ngay cả những chuỗi khối hiệu quả nhất. 

Tuy nhiên, sự phân cấp tương đương với khả năng phục hồi. Đó là lý do tiền điện tử có giá trị thị trường. Không có nó, người dùng sẽ được hưởng lợi tốt hơn với tốc độ và tiết kiệm chi phí của các tổ chức tập trung.

Điều này thậm chí còn quan trọng hơn đối với các giao thức bảo mật, trong đó việc tập trung hóa có nghĩa là các nhà phát triển đang tự cấp cho mình quyền truy cập đặc quyền vào dữ liệu của người dùng.

Người tạo giao thức nên không bao giờ tự cung cấp cho mình các khóa quản trị có thể đóng băng hoặc hủy danh tính người dùng. (RAILGUN sử dụng các cơ chế như Xem phím để cung cấp sự minh bạch không phân biệt đối xử, do người dùng kiểm soát khi cần thiết.) 

Một vectơ tập trung khác là đa chữ ký ngưỡng, đặc biệt đối với các giao thức đang tìm cách vượt qua các cầu nối không an toàn. Ngay cả khi được thiết lập “đúng cách”, 3 trên 5 đa chữ ký được cho là kém hơn về mặt giả định về niềm tin so với ngân hàng lân cận của bạn.

Và khi multi-sig không được cấu hình đúng….  

Tội lỗi 2 – Ham muốn khai thác gỗ

Các công cụ bảo mật phải thực hiện mọi biện pháp để đảm bảo không theo dõi hoạt động của người dùng, đặc biệt là dữ liệu nhận dạng cá nhân như địa chỉ IP và hoạt động duyệt web.

Các giao thức bảo mật phải được thiết kế với triết lý toàn diện, chỉ sử dụng sự thiếu phán xét nhất thời để khử danh tính người dùng.

Ví dụ: Ví Đường sắt (đã tích hợp công nghệ bảo mật RAILGUN) ủy quyền các cuộc gọi RPC theo mặc định cho tất cả người dùng để ngay cả khi ai đó không sử dụng VPN (điều họ nên làm 🙁), IP của họ sẽ không bị rò rỉ tới các nút RPC.

Tội lỗi 3 – Trạng thái được mã hóa

Tại sao không làm cho toàn bộ hệ thống ở chế độ riêng tư? Điều đó thật hấp dẫn… nhưng theo một cách nào đó, việc có một trạng thái được mã hóa hoàn toàn cũng là điều không mong muốn cũng như việc bị công khai hoàn toàn.

Trạng thái mã hóa tạo ra một hộp đen nơi người dùng và người quan sát không biết dApp đang làm gì. Nó loại bỏ tính năng bảo mật quan trọng nhất của blockchain: khả năng kiểm toán công khai.

Nếu dApp là riêng tư, làm cách nào để xác minh rằng các nhà kinh tế và các tác nhân đang hành động chính xác? Làm thế nào để bạn phản ứng đúng cách trước một hành vi khai thác hoặc nỗ lực độc hại nếu bạn không biết liệu có điều gì đó đã xảy ra hay không?

Quyền riêng tư của người dùng là tốt – và tính minh bạch của giao thức cũng vậy.

Tội lỗi 4 – Phụ thuộc vào các nhà sản xuất cụ thể

Trở thành “không đáng tin cậy” có nghĩa là bạn không cần phải tin tưởng vào bên thứ ba (tức là công ty, đại lý hoặc giao dịch viên ngân hàng) để đảm bảo giao thức hoạt động. Điểm mạnh của mã hóa không dựa trên kiến ​​thức là nó tạo ra ít sự phụ thuộc hơn, kể cả vào các nhà sản xuất.

Ví dụ: hãy xem xét nếu bạn tạo một hệ thống bảo mật dựa trên Tiện ích mở rộng bảo vệ phần mềm do Intel tích hợp vào CPU của họ. Tính bảo mật của hệ thống của bạn phụ thuộc vào một điểm lỗi tiềm ẩn duy nhất – tin tưởng rằng Intel đã triển khai sản phẩm của mình một cách chính xác.

Khuyến khích của Intel là hành động phù hợp, nhưng việc dựa vào SGX sẽ tạo ra lỗ hổng thường trực và giả định về niềm tin không cần thiết. Ngoài ra còn có những cân nhắc về việc gác cổng theo thiết kế, vì SGX yêu cầu phần cứng chuyên dụng tương đối đắt tiền, ít người biết đến và khó bảo trì –. Ngược lại, trình xác thực bằng chứng cổ phần có thể chạy trên Raspberry Pi.

Tội lỗi 5 – Lừa đảo

Quyền riêng tư của tiền điện tử là một câu chuyện hấp dẫn, nhưng nó không phải là một đề xuất có giá trị đủ mạnh để đảm bảo xây dựng một chuỗi khối hoặc tổng hợp hoàn toàn mới (trừ khi chuỗi đặc biệt mang đến sự đổi mới kỹ thuật nghiêm ngặt).

Hệ thống bảo mật có tác động mạnh nhất khi có sẵn trên các chuỗi nơi người dùng và hoạt động tài chính tồn tại. Dù tốt hay xấu, Defi đã tụ tập xung quanh Ethereum, EVMvà một số môi trường khác như Solana. Solidity là vua và do đó đã được hưởng lợi từ nghiên cứu bảo mật nhất.

Việc tạo ra một môi trường thực thi mới và thu hút các nhà phát triển cũng như người dùng cần có thời gian và thường không có động cơ bền vững. Trong khi đó, hàng tỷ đô la giá trị đang nằm trên các chuỗi công cộng rất cần sự riêng tư.

Chuỗi quyền riêng tư chuyên dụng cũng tạo ra các câu hỏi bảo mật bổ sung, chẳng hạn như yêu cầu cầu nối – đã được chứng minh hết lần này đến lần khác là thành phần kém an toàn nhất của mạng blockchain. Các mối quan tâm khác bao gồm việc tập trung hóa sự đồng thuận, xác nhận và trình tự.

Tội lỗi 6 – Sự phức tạp của người xây dựng

Các nhà phát triển thường được coi là thiên tài (và một số là như vậy). Tuy nhiên, mật mã đủ khó để buộc các nhà xây dựng phải học và sử dụng ngôn ngữ, chuỗi công cụ hoặc hệ sinh thái độc quyền sẽ phức tạp và phản tác dụng một cách không cần thiết. 

Hợp đồng được viết bằng các ngôn ngữ như Solidity hoặc Vyper có thể được di chuyển giữa các mạng hỗ trợ EVM. Điều đó không xảy ra với Rust và các chuỗi WebAssugging khác. Tất cả đều có tiêu chuẩn riêng cho thời gian chạy. Từ quan điểm của người xây dựng, điều đó có nghĩa là các cơ sở mã hợp đồng riêng biệt cần được duy trì cho mỗi chuỗi mặc dù chúng sử dụng cùng một ngôn ngữ.

Kết quả là sản phẩm ít được tiếp cận hơn.

Tội lỗi 7 – Công nghệ non nớt

“Magic Internet Money” là một meme thực sự xuất sắc. Tuy nhiên, các nhà phát triển tiền điện tử đang xây dựng công nghệ tài chính có tác động đến thế giới thực và xử lý tiền thật.

Công nghệ bảo mật có nhiệm vụ kép là tính đến “tính thực tế của tiền” và bản thân “quyền riêng tư” - nghĩa là nó phải được bảo mật trước các hoạt động khai thác tài chính VÀ bất kỳ điều gì có thể hủy danh tính người dùng. Phần lớn các nghiên cứu học thuật hiện có về công nghệ đều có lý do.

Kẻo bạn sẽ kết thúc như thế IOTA, một tiên đề đã được thử và đúng là “không bao giờ sử dụng mật mã của bạn”.

Đặc biệt, công nghệ bảo mật phải được thử nghiệm và cân nhắc kỹ lưỡng, với sự kiểm tra sâu rộng từ các công ty bảo mật, đánh giá từ những người ủng hộ quyền riêng tư, thử nghiệm bút của mũ trắng, v.v.

Nếu không, làm sao bạn có thể mong đợi mọi người - đặc biệt là những người dùng phổ thông mới được hy vọng - mạo hiểm danh tính và tiền bạc của họ trên một nền tảng công nghệ phức tạp?

Kết luận

Các chuỗi khối công khai là “dox-by-design”. Không dễ dàng gì để xây dựng các hệ thống bảo mật trên chuỗi trong khi vẫn đảm bảo lý do sử dụng tiền điện tử ngay từ đầu, chẳng hạn như khả năng kiểm toán và phân cấp.

Một nguồn tài nguyên tuyệt vời để đánh giá mức độ riêng tư của công cụ bảo mật bạn đã chọn là Quyền riêng tư của Web3 Bây giờ sáng kiến đã phân loại và chấm điểm các công cụ bảo mật tiền điện tử khác nhau. Hãy xem đây là bước đầu tiên tuyệt vời để bảo vệ danh tính trực tuyến và tài chính của bạn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://cryptoslate.com/the-seven-deadly-sins-of-crypto-privacy/