Tuần vừa rồi, Sky Mavis, đơn vị chủ quản tựa game Axie Infinity, thông báo khởi động chương trình Bug Bounty (tìm lỗi nhận tiền), khuyến khích hacker mũ trắng tìm kiếm những lỗ hổng trên hệ thống của Axie Infinity. Số tiền thưởng có thể lên đến 1 triệu USD (23 tỷ đồng) và được trả dưới dạng token AXS mở khóa sau sáu tháng.

Theo thông tin, tất cả những lỗi liên quan đến bên trong hệ thống Sky Mavis đều được chấp nhận để trao thưởng, bao gồm cả lỗi smart contract, blockchain, cho đến những lỗi website thông thường.

Chẳng phải khi không mà Sky Mavis lại chấp nhận trao thưởng lớn để thực hiện bug bounty, kêu gọi cộng đồng tìm lỗ hổng bảo mật. Mà đó là vì dạo gần đây Axie liên tục gặp hack lớn, do đó họ cần mở rộng chương trình tìm kiếm lỗ hổng bảo mật của mình.

Gần đây nhất là vụ Ronin Network, một sidechain của Axie Infinity, bị hacker tấn công và rút khỏi hệ thống số tiền 25,5 triệu USD và 173.600 Ethereum. Với giá trị mỗi Ethereum là 3.420 USD, thì tổng số tiền mã hóa được quy đổi thành 625 triệu USD. Đây là vụ tấn công nghiêm trọng nhất trong lịch sử ngành tiền mã hóa.

Theo ban quản trị Ronin, kẻ xấu sử dụng khóa cá nhân, tấn công và nắm quyền kiểm soát 4 trình xác thực của Ronin để thực hiện việc rút tiền.

Ở thời điểm hiện tại phần lớn số tiền bị đánh cắp dưới dạng Ethereum đã nằm trong ví của hacker. Còn Ronin đã tạm ngừng hoạt động để tích cực xử lý, đề phòng những cuộc tấn công khác.

Với việc gặp nhiều sự cố bị hack như vậy, thì bug bounty là một bước đi hợp lý của Sky Mavis. Trên thực tế, đây là một hoạt động rất phổ biến trong giới IT.

Bug Bounty, hay còn gọi là Bug Bounty Program, là thuật ngữ trong ngành IT, dùng để chỉ phần thưởng hoặc tiền thưởng cho những cá nhân hoặc tổ chức có thể tìm kiếm lỗi trên các website, ứng dụng của các doanh nghiệp. Tham gia Bug Bounty có thể là cá nhân những hacker mũ trắng, hoặc cũng có công ty chuyên kinh doanh dịch vụ tìm bug.

Theo BBC, những hacker mũ trắng có thể kiếm được 350.000 USD/năm, còn những doanh nghiệp Bug Bounty có thể trả cho người tìm lỗi khoảng 1 triệu USD/năm. Tuy nhiên việc tìm kiếm lỗ hổng hệ thống không hề đơn giản, yêu cầu chuyên môn, sự kiên nhẫn và liên tục cập nhật kiến thức, thông tin mới.

Các chuyên gia bảo mật thông tin ở Việt Nam cũng có một số thành tích nổi bật trong bug bounty.

Một gương mặt tiêu biểu là chuyên gia Trần Văn Khang, trưởng nhóm Phân tích mã độc thuộc công ty VinCSS của Vingroup. Năm 2020 anh Khang từng phát hiện ba lỗ hổng bảo mật nghiêm trọng trên Adobe Illustrator. Đồng thời anh cũng là chủ nhân của 4 lỗi CVE khác nhau trên những phần mềm diệt virus nổi tiếng như Trend Micro, McAfee, Bitdefender và ESET.

Hoặc anh Nguyễn Tuấn Anh thuộc phòng An ninh hệ thống ứng dụng của Công ty an ninh mạng Viettel cũng từng tìm ra lỗ hổng RCE trên sản phẩm Oracle E-Business Suite của tập đoàn Oracle. Lỗ hổng này cho phép hacker chiếm quyền kiểm soát server của các hệ thống ERP từ những công ty như AT&T, Huawei, Motorola, Dell, v.v..

Game Blockchain là một lĩnh vực khá mới. Nhà sáng lập Nguyễn Thành Trung từng chia sẻ rằng, khi xây dựng Axie, công ty ông gặp khá nhiều khó khăn vì nhiều công nghệ chưa sẵn có khiến công ty phải xây dựng từ đầu. Thành thử, game gặp lỗi bảo mật là điều khó tránh. Chương trình kêu gọi sức của cộng đồng hacker mũ trắng có lẽ sẽ mang lại nhiều hiệu quả về mặt bảo mật cho Axie Infinity.

Theo Diendandoanhnghiep.vn