Vayana thành công kết nối mạng lưới 300.000+ doanh nghiệp với Kiểm thử bảo mật hợp đồng thông minh

Nhờ tinh thần chủ động bảo mật thông qua phương pháp Kiểm thử bảo mật hợp đồng thông minh, Vayana đã thành công xây dựng niềm tin trong lòng khách hàng, giữ vững vị trí một trong những công ty công nghệ hàng đầu tại Ấn Độ.

Vayana, mang ý nghĩa “dệt” trong tiếng Phạn, là một nền tảng tài chính chuỗi cung ứng (supply chain finance) lớn nhất tại Ấn Độ, chuyên cung cấp các giải pháp hỗ trợ thương mại và tín dụng thương mại cho tất cả các cấp độ của chuỗi cung ứng. Tài trợ hơn 14 tỷ USD mỗi năm, với hơn 200.000 doanh nghiệp trên hơn 1.000 chuỗi cung ứng, Vayana là đối tác được ưu tiên trong lĩnh vực tài trợ chuỗi cung ứng.

Vayana kết nối các doanh nghiệp cùng hệ sinh thái thương mại của họ, mang lại khả năng tiếp cận tín dụng kỹ thuật số dễ dàng, cho phép các ngân hàng và tổ chức cho vay với rủi ro giảm, chi phí thấp hơn và không cần đầu tư thêm hoặc thay đổi quy trình cho bất kỳ ai. Với công nghệ độc quyền của mình, Vayana đã xử lý hơn 3 triệu giao dịch trên toàn thế giới, trải dài trên 600 thành phố tại Ấn Độ và mở rộng tới 23 quốc gia trên toàn cầu.

Nền tảng vay nợ Vayana (Vayana Debt Platform) là một hệ điều hành cho vay dựa trên blockchain toàn diện dành cho các loại tiền kỹ thuật số, tiền gửi token, CBDC và Fiat. Với VDP, Vayana đặt mục tiêu cho phép những người cho vay được quản lý hoặc thay thế và các nhà đầu tư tín dụng khác cho các doanh nghiệp vay trên Blockchain, khai thác sức mạnh của hợp đồng thông minh để số hóa hoàn toàn hoạt động cho vay của họ.

Với nhận thức sâu sắc về tầm quan trọng của việc bảo mật dữ liệu khách hàng, đặc biệt khi ứng dụng VDP sở hữu nhiều loại thông tin tài chính nhạy cảm của các cá nhân và tổ chức, Vayana hiểu rằng việc tiến hành Kiểm thử bảo mật là bước đi cần thiết cho sự phát triển của doanh nghiệp.

Bởi VDP là một dự án quan trọng đánh dấu cột mốc mới trong việc đẩy mạnh hoạt động kinh doanh, Vayana đã tìm kiếm và cân nhắc giữa nhiều đơn vị trong và ngoài phạm vi Ấn Độ rất lâu để đảm bảo sự hợp tác đạt được kết quả tốt nhất. Trước khi đưa ra quyết định cuối cùng, Vayana đã tiến hành nghiên cứu tỉ mỉ những khía cạnh quan trọng mà một đơn vị bảo mật cần có: quy trình làm việc, mức độ hỗ trợ, năng lực và kinh nghiệm của chuyên gia.

Vayana xem xét quy trình làm việc của CyStack, bao gồm phương pháp tiếp cận, quy trình kiểm tra và đánh giá rủi ro bảo mật bao gồm cả trong và sau quá trình triển khai. Họ cũng đặc biệt quan tâm đến kỹ năng và kinh nghiệm của CyStack trong lĩnh vực bảo mật, đảm bảo rằng đối tác có đủ chuyên môn và kinh nghiệm để bảo vệ khối lượng lớn dữ liệu nhạy cảm của khách hàng VDP.

Vayana đã chủ động tìm hiểu và đề xuất sử dụng phương pháp Kiểm thử bảo mật thông minh (Smart Contract Audit) theo hình thức White-box cho ứng dụng VDP.

White-box mô phỏng cuộc tấn công khi hacker chiếm được quyền truy cập của một tài khoản có đặc quyền. Phương pháp này cho phép chuyên gia CyStack có quyền truy cập trực tiếp vào toàn bộ ứng dụng và hệ thống hiện tại của Vayana, giúp CyStack hiểu về cấu trúc hệ thống và mã nguồn của ứng dụng một cách đầy đủ và sâu sắc nhất. Cách tiếp cận toàn diện này kết hợp phân tích tĩnh và động của từng thành phần trong hệ thống, khó bỏ sót lỗ hổng bảo mật trong quá trình kiểm thử đồng thời tiết kiệm thời gian gấp 7 lần.

Đối tượng kiểm thử: Hợp đồng thông minh VDP Digital Assets Lending Platform. Khách hàng gửi source code để chuyên gia đánh giá bảo mật.

Phạm vi kiểm thử:

• SLOC: 2700
• Ngôn ngữ lập trình: Solidity

Thời gian thực hiện: Từ 02/11/2023 - 10/11/2023

Đầu tiên, cần phải hiểu, hợp đồng thông minh là gì? Đây là các hợp đồng kỹ thuật số tự vận hành dựa trên công nghệ blockchain, giúp tự động hoá các giao dịch và đảm bảo tuân thủ các điều khoản trong một thoả thuận.

Công nghệ blockchain vốn được thiết kế với mục tiêu đảm bảo an toàn, tuy nhiên không có gì là tuyệt đối. Chúng vẫn tồn tại một số thách thức về bảo mật, chẳng hạn như:

• Các lỗ hổng trong hợp đồng thông minh: Hợp đồng thông minh là hợp đồng tự thực hiện với các điều khoản được ghi trực tiếp vào mã. Tuy nhiên, chúng có thể chứa lỗ hổng mà kẻ tấn công có thể khai thác. Điều này đặc biệt nguy hiểm nếu mã chưa được kiểm thử kỹ hoặc nếu hợp đồng chưa được kiểm tra một cách đúng đắn.
• Tấn công 51%: Trong một cuộc tấn công 51%, nhóm tấn công giành quyền kiểm soát hơn 50% năng lực tính toán của blockchain. Điều này cho phép họ thao túng mạng và có khả năng đảo ngược hoặc chặn các giao dịch hợp lệ.
• Tấn công mạo nhận (Sybil attack): Tấn công mạo nhận xảy ra khi kẻ tấn công tạo ra nhiều danh tính hoặc node trong mạng để kiểm soát một phần đáng kể của năng lực tính toán của mạng.
• Gian lận lặp chi (Double-spending): Trong cuộc tấn công gian lận lặp chi, kẻ tấn công có khả năng chi tiêu cùng một loại tiền kỹ thuật số hoặc token nhiều lần bằng cách tạo bản sao tài sản kỹ thuật số.
• Rò rỉ dữ liệu và quyền riêng tư: Tấn công rò rỉ dữ liệu và quyền riêng tư xảy ra khi kẻ tấn công truy cập vào dữ liệu nhạy cảm được lưu trữ trên blockchain, chẳng hạn như thông tin cá nhân hoặc dữ liệu tài chính.
• Tấn công kênh bên (Side-channel attack): Tấn công kênh bên nhằm khai thác thông tin bên lề không thuộc kênh giao tiếp chính, ví dụ như mức tiêu thụ năng lượng hoặc bức xạ điện từ.

Đây chỉ là một số ví dụ về những thách thức bảo mật mà công nghệ blockchain phải đối mặt. Khả năng các mối đe doạ xuất hiện và phát triển là điều chắc chắn, và và các chuyên gia bảo mật cũng như nhà phát triển vẫn đang không ngừng nghiên cứu để xác định và giảm thiểu chúng. Tuy nhiên, doanh nghiệp cần có cái nhìn toàn diện về vấn đề này, trước tiên là áp dụng các biện pháp bảo mật ban đầu để bảo vệ hệ thống công nghệ blockchain của mình bằng cách thực hiện Kiểm thử bảo mật hợp đồng thông minh (Smart Contract Audit).

Kiểm thử bảo mật hợp đồng thông minh là quy trình đánh giá toàn diện mã nguồn của hợp đồng thông minh nhằm đảm bảo rằng chúng hoạt động chính xác, an toàn và không có lỗ hổng nào tồn tại bên trong gây ảnh hưởng đến dữ liệu chung. Quy trình này thường bao gồm phân tích kỹ càng thiết kế, triển khai và các cơ chế bảo mật trong mã nguồn của hợp đồng thông minh, cũng như kiểm tra và phân tích để xác định vấn đề tiềm ẩn.

Khi thực hiện đánh giá bảo mật với một bên thứ ba uy tín, nhà phát triển cũng thể hiện cho các bên liên quan thấy họ thực sự quan tâm tới các vấn đề bảo mật và mức độ tin cậy của các hợp đồng thông minh, từ đó củng cố uy tín và danh tiếng trong cộng đồng blockchain. Điều này có thể rất quan trọng trong việc thu hút các nhà đầu tư và đối tác. Hơn nữa, các dự án kiểm thử bảo mật hợp đồng thông minh cũng giúp đảm bảo mã nguồn đạt được và tuân thủ các yêu cầu tiêu chuẩn và quy định nếu bắt buộc.

Hợp đồng thông minh được tiến hành kiểm thử nhưng không chỉ giới hạn trong các loại lỗ hổng sau:

1. Reentrancy: Lỗ hổng xảy ra khi một hợp đồng thông minh cho phép kẻ tấn công gọi tới hợp đồng thông minh và trích xuất các giá trị trên hợp đồng thông minh đó nhiều lần.
2. Unchecked call return value: Lỗ hổng xảy ra khi hợp đồng thông minh không kiểm tra chặt chẽ giá trị trả về của lệnh gọi đến một hợp đồng khác, dẫn tới nguy cơ thực thi mã độc.
3. Unchecked user input: Lỗ hổng xảy ra khi hợp đồng thông minh không xác thực chính xác thông tin đầu vào của người dùng và có thể dẫn đến việc thực thi mã độc hoặc thao túng dữ liệu.
4. Unchecked math operations: Lỗ hổng xảy ra khi một hợp đồng thông minh thực hiện các phép tính có thể gây overflow hoặc underflow, dẫn đến kết quả ngoài ý muốn.
5. Unchecked external calls: Lỗ hổng xảy ra khi một hợp đồng thông minh gọi một hợp đồng bên ngoài mà không kiểm tra đúng giá trị trả về, dẫn đến việc thực thi mã độc hoặc thao túng dữ liệu.
6. Integer overflow and underflow: Lỗ hổng xảy ra khi hợp đồng thông minh không xử lý chính xác các số mang giá trị rất lớn, dẫn đến các kết quả ngoài ý muốn.
7. Unsecured data storage: Lỗ hổng xảy ra khi hợp đồng thông minh lưu trữ dữ liệu nhạy cảm theo cách không an toàn, có thể dẫn đến vi phạm dữ liệu.
8. Timestamp dependence: Lỗ hổng xảy ra khi hợp đồng thông minh phụ thuộc vào timestamp do mạng blockchain cung cấp mà kẻ tấn công có thể thao túng.
9. Unsecured randomness: Lỗ hổng xảy ra khi hợp đồng thông minh sử dụng trình tạo số ngẫu nhiên không an toàn mà kẻ tấn công có thể dự đoán được.
10. Access control: Lỗ hổng xảy ra khi hợp đồng thông minh không thực hiện kiểm soát truy cập đúng cách, cho phép tin tặc truy cập hoặc thao túng dữ liệu.

CyStack có khả năng đánh giá hợp đồng thông minh trên nhiều mạng blockchain hoặc chuỗi như:

• Ethereum: Mạng blockchain phổ biến nhất hỗ trợ các hợp đồng thông minh viết bằng Solidity hoặc Vyper, một ngôn ngữ lập trình gần giống Python.
• BNBSmart Chain ﴾BSC﴿, trước đây là Binance Smart Chain: Mạng blockchain chạy song song với BNB Beacon Chain và hỗ trợ các hợp đồng thông minh viết bằng Solidity.
• TRON: Một nền tảng blockchain mã nguồn mở tương thích với Ethereum, hỗ trợ các hợp đồng thông minh Solidity.
• Polygon, trước đây là Matic Network: Một giải pháp mở rộng sử dụng sidechain, chạy song song với Ethereum, với các hợp đồng thông minh viết bằng Solidity hoặc Vyper.
• Avalanche: Một nền tảng mã nguồn mở chạy các ứng dụng phi tập trung ﴾dApp﴿ và triển khai mạng blockchain cho doanh nghiệp, cấu tạo bao gồm 3 blockchain tích hợp sẵn, trong số đó có Contract Chain ﴾C‐Chain﴿. C‐Chain tương thích với EVM, do đó hỗ trợ các hợp đồng thông minh viết bằng Solidity.
• Solana: Mạng blockchain tối ưu hiệu năng và tốc độ với các chương trình ﴾hợp đồng thông minh﴿ viết bằng Rust hoặc C/C++.
• NEAR: Mạng blockchain hiệu suất cao hỗ trợ các hợp đồng thông minh viết bằng JavaScript, Rust hoặc AssemblyScript.
• EOSIO: Mạng blockchain hỗ trợ các hợp đồng thông minh được viết bằng C++.
• NEO: Mạng blockchain thân thiện nhất với nhà phát triển, hỗ trợ các hợp đồng thông minh được viết bằng nhiều ngôn ngữ lập trình khác nhau như C#, Python, Go, Java và TypeScript.
• Algorand: Một nền tảng blockchain hỗ trợ các hợp đồng thông minh được viết bằng nhiều ngôn ngữ lập trình, bao gồm Python và Reach, một ngôn ngữ gần giống JavaScript.
• Aptos: Blockchain Layer 1 với các đối tượng tài nguyên và sử dụng ngôn ngữ lập trình Move cho hợp đồng thông minh.
• Sui: Blockchain Layer 1 không cần cấp phép ﴾hay blockchain mở﴿ đầu tiên được viết bằng Rust và hỗ trợ các hợp đồng thông minh viết bằng ngôn ngữ lập trình Move.

CyStack cũng hỗ trợ kiểm thử dApp và blockchain của doanh nghiệp được tạo và triển khai bằng các nền tảng sau:

• Cosmos: Một mạng blockchain Layer0 nổi bật, kết nối các blockchain khác nhau thành một hệ thống meta‐blockchain được gọi là interchain. Cosmos cung cấp SDK để xây dựng dApps và các mạng Layer 1 được viết bằng Go.
• Polkadot: Sharded blockchain toàn diện đầu tiên cấu thành từ một mạng chính là Relay Chain và các phân mảnh ﴾shard﴿ là các parachain. Với Parachain Development Kit ﴾PDK﴿, các nhà phát triển có thể xây dựng các parachain bằng ngôn ngữ Rust.
• Quorum: Một giao thức blockchain được cấp phép ﴾hay blockchain đóng﴿, mã nguồn mở dựa trên Ethereum, cho phép các nhà phát triển triển khai các blockchain có hợp đồng viết bằng Solidity hoặc Vyper.
• Hyperledger: Một tổ chức hợp tác mã nguồn mở thúc đẩy các công nghệ blockchain liên ngành, cung cấp nhiều framework sổ cái phân tán ﴾distrubuted ledger﴿ khác nhau, hỗ trợ đa dạng các ngôn ngữ lập trình như Go, Python, Rust, Java, JavaScript, C++, C#, Objective‐C và Swift.
• Corda: Nền tảng công nghệ sổ cái phân tán ﴾DLT﴿ đóng với mô hình mạng ngang hàng ﴾P2P﴿, chủ yếu được sử dụng bởi các doanh nghiệp tài chính để xây dựng dApps và blockchain viết bằng Kotlin hoặc Java.
• Hedera Hashgraph: DLT công khai mã nguồn dựa vào thuật toán Hashgraph, một giải pháp thay thế cho blockchain. Hedera Hashgraph cung cấp SDK hỗ trợ nhiều ngôn ngữ lập trình như Java, JavaScript/TypeScript, Go, Rust, C++ và Swift.

• Chuẩn bị: Thiết lập phạm vi kiểm thử, xác định các bên liên quan và thu thập tất cả các tài liệu liên quan của Vayana như whitepaper, mã nguồn hợp đồng thông minh và tài liệu thiết kế.
• Mô hình hoá mối đe doạ: Xác định các mối đe doạ và lỗ hổng tiềm ẩn ảnh hưởng đến hợp đồng thông phân, bao gồm việc phân tích chức năng, luồng dữ liệu và các tương tác bên ngoài của hợp đồng thông minh để xác định bất kỳ vector tấn công tiềm ẩn nào.
• Đánh giá mã nguồn: Kiểm tra mã nguồn hợp đồng thông minh để xác định bất kỳ lỗi, sai sót hoặc lỗ hổng nào, được thực hiện thủ công bởi nhà phát triển hoặc sử dụng các công cụ tự động để giúp xác định các vấn đề tiềm ẩn. Đội ngũ bảo mật tại CyStack sử dụng SafeChain, ứng dụng rà quét mã nguồn blockchain tự động được phát triển bởi chính đội ngũ này.
• Thực hiện kiểm thử: Chạy hợp đồng thông minh trên mạng thử nghiệm và thực hiện nhiều loại kiểm thử khác nhau như kiểm thử đơn vị, kiểm thử chức năng và kiểm thử bảo mật.
• Báo cáo: Ghi lại các phát hiện của cuộc kiểm thử và cung cấp một báo cáo bao gồm tổng quan vềcuộc kiểm thử, danh sách các vấn đề đã xác định và các đề xuất khắc phục.
• Khắc phục: Triển khai mọi thay đổi được đề xuất đối với mã nguồn hợp đồng thông minh để khắc phục các sự cố và lỗ hổng đã xác định.
• Tái đánh giá: Chạy lại hợp đồng thông minh trên mạng thử nghiệm để đảm bảo rằng các vấn đề được xác định đã được giải quyết và hợp đồng thông minh của Vayana đã được bảo mật.

Sau khi thực hiện Kiểm thử bảo mật hợp đồng thông minh, chúng tôi ghi nhận kết quả tổng cộng 4 lỗ hổng trong ứng dụng VDP, bao gồm 1 medium, 1 low và 2 info.

Cách chúng tôi khắc phục:

Khả năng bị từ chối dịch vụ theo giới hạn gas khối

• Mức độ nghiêm trọng: medium
• Mô tả: Mỗi giao dịch trong Ethereum yêu cầu 21000 gas dựa trên các tính toán được thực hiện trong hợp đồng. Một khối Ethereum có giới hạn tối đa là 30 triệu gas. Vượt quá giới hạn này sẽ khiến giao dịch bị hủy bỏ. Nếu không được quản lý đúng cách, điều này có thể khiến một số chức năng nhất định của hợp đồng không thể hoạt động được. Hoặc là mảng phát triển theo thời gian, hoặc tác nhân sai trái có thể tích lũy một số lượng lớn tiền vay và tạo điều kiện cho một cuộc tấn công DoS.
• Cách khắc phục: Áp giới hạn kích thước mảng, hoặc tránh có các mảng lớn phát triển theo thời gian và lặp trên toàn bộ cấu trúc dữ liệu, hoặc lập kế hoạch cho các hoạt động trên các mảng đó trải rộng trên nhiều khối và do đó yêu cầu nhiều giao dịch.

Thiếu xác thực địa chỉ 0

• Mức độ nghiêm trọng: low
• Mô tả: Chức năng thay đổi Factory thiếu kiểm tra địa chỉ 0 cho Factory mới, điều này có thể gây ra kết quả không mong muốn.
• Cách khắc phục: Thêm kiểm tra địa chỉ 0 trước khi sử dụng newFactory trong bất kỳ hoạt động nào.

Floating pragma

• Mức độ nghiêm trọng: info
• Mô tả: Các hợp đồng nên được triển khai với cùng một phiên bản trình biên dịch và các cờ mà chúng đã được kiểm tra kỹ lưỡng. Khóa pragma giúp đảm bảo rằng các hợp đồng không vô tình được triển khai bằng cách sử dụng phiên bản trình biên dịch lỗi thời có thể gây ra các lỗi ảnh hưởng tiêu cực đến hệ thống hợp đồng.
• Cách khắc phục: Sử dụng một phiên bản pragma cố định, thay cho các phiên bản compiler cũ có thể xử lý một số cấu trúc ngôn ngữ không lường trước được.

Cân bằng boolean

• Mức độ nghiêm trọng: info
• Mô tả: Các hằng số Boolean có thể được sử dụng trực tiếp trong các câu lệnh điều kiện như if và else. Trong một số hợp đồng, một số điều kiện được đặt bằng cách so sánh giữa hằng số boolean và giá trị true (hoặc false).
• Cách khắc phục: Sử dụng trực tiếp các hằng số boolean.

Sau khi thử nghiệm lại cơ sở mã mới cho các hợp đồng thông minh của Vayana, CyStack xác nhận rằng tất cả các vấn đề đã được phát hiện đều đã được giải quyết. Không tìm thấy vấn đề mới nào đối với các chức năng bổ sung trong hợp đồng thông minh. Nhìn chung, các hợp đồng thông minh đã được kiểm thử và bao gồm các phương pháp thực hành tốt nhất để phát triển hợp đồng thông minh, cũng như đã vượt qua đánh giá bảo mật của CyStack.

Nhờ tinh thần chủ động thực hiện kiểm thử, Vayana đã có thể tái khẳng định cam kết của mình trong việc hỗ trợ các tổ chức và người dùng của mình trong việc đối phó với các mối đe dọa bảo mật.

CyStack đã tiến hành một quá trình kiểm tra và đánh giá toàn diện về bảo mật, để xác định và khắc phục mọi lỗ hổng bảo mật được phát hiện. Đội ngũ chuyên gia của CyStack đã làm việc với tinh thần cẩn trọng và sự tận tâm, đảm bảo rằng không có điểm yếu nào còn tồn tại trong ứng dụng VDP.

Vayana rất hài lòng với dịch vụ của CyStack, từ khâu kỹ thuật cho tới chăm sóc khách hàng. Với sự hiểu biết sâu sắc về quy trình làm việc của CyStack, mức độ hỗ trợ và khả năng đáp ứng yêu cầu, Vayana đã có cơ sở vững chắc để đưa ra quyết định hợp tác lâu dài với CyStack. Vayana tin rằng mối quan hệ hợp tác giữa hai bên sẽ tiếp tục phát triển và mang lại những thành công trong các kế hoạch bảo mật sắp tới.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với 200+ doanh nghiệp và 20,000+ người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/