Nền tảng và Phân tích Bảo mật Blockchain

I. Giới thiệu khóa học:

Khóa học này cung cấp cho học viên một nền tảng rõ ràng về cách các hệ thống blockchain được xây dựng, cách thiết lập lòng tin trong các mạng public và permissioned, các điểm thường phát sinh rủi ro hoặc sự cố bảo mật. Khóa học bắt đầu với cấu trúc dữ liệu và luồng giao dịch, sau đó chuyển sang các mô hình đồng thuận (consensus), tính hoàn tất (finality), smart contract, key management, hạ tầng node và RPC, các biện pháp kiểm soát doanh nghiệp và ứng phó sự cố. Các sự cố thực tế và các ví dụ theo dạng kiểm toán sẽ được sử dụng để kết nối từng chủ đề với rủi ro vận hành.

II. Thời lượng: 16 giờ (2 ngày)
III. Hình thức đào tạo:

Đào tạo trực tiếp tại lớp học, đào tạo online tương tác với giảng viên, đào tạo kết hợp online và trực tiếp tại lớp học, đào tạo tại văn phòng khách hàng theo yêu cầu

IV. Mục tiêu khóa học:
  • Giải thích sự khác biệt giữa blockchain với các cơ sở dữ liệu truyền thống và cơ sở dữ liệu phân tán.
  • Mô tả cấu trúc block, liên kết hash, cây Merkle (Merkle tree), khóa, địa chỉ, chữ ký và vòng đời của một giao dịch.
  • So sánh các mô hình đồng thuận (consensus) và tính hoàn tất (finality), bao gồm PoW, PoS, cơ chế đồng thuận dạng BFT, và PoA trong các mạng permissioned.
  • Nhận diện các rủi ro bảo mật phổ biến như tấn công 51%, reorg, kiểm duyệt, validator collusion (thông đồng validator), replay attack, giao dịch chạy trước (front-running), MEV, thao túng oracle (oracle manipulation), và kiểm soát multisig yếu.
  • Đánh giá việc thiết lập quản lý khóa và ký số, bao gồm hot wallet, warm wallet, cold wallet, MPC, và ký số được hỗ trợ bởi HSM (HSM-backed signing).
  • Áp dụng các biện pháp kiểm soát doanh nghiệp như IAM/PAM, HSM/KMS, SIEM/SOC, giám sát, rủi ro nhà cung cấp và ứng phó sự cố vào các hệ thống blockchain.
  • Đọc hiểu một báo cáo audit smart contract và xác định các quyền hạn đặc biệt, lộ trình nâng cấp và các phụ thuộc bên ngoài.
V. Đối tượng học viên:

Khóa học này dành cho các giám đốc/chuyên viên bảo mật (security officers), đội ngũ IT và hạ tầng (infrastructure teams), đội ngũ quản lý rủi ro và tuân thủ (risk and compliance teams), quản lý sản phẩm blockchain (blockchain product managers), kiến trúc sư giải pháp (solution architects) và kỹ sư cần hiểu rõ các rủi ro bảo mật blockchain trong môi trường production hoặc môi trường doanh nghiệp.

VI. Điều kiện tiên quyết:

Học viên nên có hiểu biết cơ bản về các hệ thống IT và các khái niệm an ninh mạng (cybersecurity).  Kinh nghiệm về mạng, API, vận hành cloud hoặc hạ tầng, hoặc phát triển phần mềm sẽ là một lợi thế.  Không yêu cầu phải có kinh nghiệm phát triển blockchain trước đó.

VII. Nội dung khóa học:

Nền tảng Blockchain và Mô hình Bảo mật (Blockchain Foundations and Security Model)

1. Mô hình lòng tin (Trust Model):

  • So sánh blockchain với cơ sở dữ liệu truyền thống và cơ sở dữ liệu phân tán.
  • Các mô hình blockchain: Public, private, permissioned, và consortium.
  • Bộ ba bất khả thi của Blockchain (Blockchain trilemma): Tính phi tập trung, bảo mật và khả năng mở rộng.

2. Các thành phần cấu tạo Blockchain (Blockchain Building Blocks):

  • Cấu trúc block, previous hash và liên kết chuỗi
  • Hàm hash, cây Merkle (Merkle tree), và bằng chứng bao hàm.
  • Khóa bí mật (private key), khóa công khai (public key), địa chỉ, và chữ ký số.
  • Nonce, cơ chế chống tấn công lặp lại (replay protection), mô hình UTXO so với mô hình account-based model.
  • Giao dịch và vòng đời của giao dịch.

3. Đồng thuận và Tính hoàn tất (Consensus and Finality):

  • Bài toán các vị tướng Byzantine (Byzantine Generals Problem).
  • PoW, PoS, cơ chế đồng thuận dạng BFT và PoA trong các mạng permissioned.
  • Tấn công 51% (51% attack), validator collusion, censorship, và reorg.
  • Tính hoàn tất theo xác suất (probabilistic finality) so với tính hoàn tất xác định (deterministic finality) và ý nghĩa của chúng đối với các hệ thống doanh nghiệp.

4. Smart Contracts:

  • EVM: gas, storage, events, và các cuộc gọi bên ngoài (external calls).
  • Bài toán Oracle (oracle problem), khả năng nâng cấp, và vai trò admin/owner.
  • Demo và các case study thực tế.

Phân tích Bảo mật (Security Analysis)

5. Bề mặt tấn công theo từng lớp (Layer-by-layer Attack Surface):

  • Mạng (Network): eclipse attack, Sybil attack, DDoS, và rủi ro phơi lộ RPC/API.
  • Đồng thuận (Consensus): tấn công 51% (51% attack), reorg, kiểm duyệt và validator collusion.
  • Giao dịch (Transaction): chi tiêu kép (double spending), replay, front-running, và MEV.
  • Oracle/bridge: thao túng, validator bị xâm nhập và multisig yếu.
  • Case studies: phân tích nguyên nhân gốc rễ của một số sự cố lớn tiêu biểu.

6. Quản và Bảo mật ký số (Key Management and Signing Security):

  • Các loại khóa trong một hệ thống thực tế: user, admin, deployer, validator, và oracle.
  • Ví nóng (hot wallet), ví ấm (warm wallet), ví lạnh (cold wallet), multisig, MPC, và ký bảo mật qua HSM.
  • Cơ chế kiểm soát kép (Maker-checker), phân tách nhiệm vụ, danh sách địa chỉ được phép và giới hạn tần suất/hạn mức giao dịch.
  • Cơ chế xoay vòng khóa (key rotation) và ứng phó khi một khóa bị xâm nhập.

7. Hạ tầng Node, RPC và Permissioned DLT:

  • Rủi ro lộ lọt RPC/API (RPC/API exposure), tăng cường bảo mật node, quản lý bí mật, và rủi ro chuỗi cung ứng.
  • Hyperledger Fabric, R3 Corda và Besu/Quorum ở góc độ kiến trúc.
  • Cơ chế thành viên (membership), CA, quản trị (governance) và rủi ro nội bộ trong các mạng consortium.

8. Các biện pháp kiểm soát trong môi trường doanh nghiệp

  • IAM/PAM, HSM/KMS, SIEM/SOC, dữ liệu on-chain so với off-chain, và rủi ro nhà cung cấp.
  • Giám sát (Monitoring): các cuộc gọi hàm đặc quyền (privileged function calls), nâng cấp contract, độ lệch oracle, các giao dịch chuyển tiền lớn, và các đợt reorg.
  • Ứng phó sự cố: tạm dừng, xoay vòng khóa, thu hồi chứng chỉ, cô lập node, và lưu giữ bằng chứng.

9. Bảo mật Smart Contract:

  • Lỗi reentrancy, lỗi kiểm soát truy cập, delegatecall, các vấn đề về số nguyên/độ chính xác (integer/precision issues), và khả năng nâng cấp.
  • Phân tích báo cáo audit: các quyền hạn đặc biệt, lộ trình nâng cấp và các phụ thuộc bên ngoài.

Tổng kết (Wrap-up)

  • Các quan niệm sai lầm phổ biến.
  • Hỏi & Đáp (Q&A).
  • Học trực tuyến

  • Học tại Hồ Chí Minh

  • Học tại Hà Nội


Các khóa học khác