Hook
Tuần trước, tại một hội thảo về bảo mật doanh nghiệp ở Toronto, một giám đốc an ninh thông tin của một quỹ đầu tư tài chính lớn đã chia sẻ câu chuyện khiến tôi giật mình: Nhân viên của họ đã dùng ví MetaMask cá nhân để kết nối với một DEX trên mạng Ethereum, swap một lượng nhỏ token cho mục đích “thử nghiệm” – và vô tình để lộ địa chỉ ví doanh nghiệp mà họ đã dùng trong hợp đồng thông minh trước đó. Kết quả: địa chỉ đó bị bot phát hiện, trở thành mục tiêu của các cuộc tấn công sandwich và phishing. Thiệt hại ước tính 1.2 triệu USD chỉ trong 72 giờ.
“Tôi nghĩ rằng chỉ cần dùng ví cá nhân thì an toàn,” người nhân viên nói. “Tôi không ngờ blockchain ghi lại tất cả.”
Câu chuyện này không phải cá biệt. Nó mở ra một vấn đề mà nhiều doanh nghiệp đang bỏ qua: Shadow Web3 – việc nhân viên sử dụng các ứng dụng phi tập trung (dApps), DEX, ví, và công cụ DeFi cá nhân trong quá trình làm việc, mà không có sự kiểm soát hay chính sách từ doanh nghiệp. Đây không chỉ là rủi ro về bảo mật tài sản, mà còn là rủi ro về tuân thủ pháp lý, lộ lọt dữ liệu chiến lược, và thậm chí là trách nhiệm pháp lý đối với các quy định về chống rửa tiền (AML) và biết khách hàng (KYC).
Context
Hãy đặt vấn đề vào bối cảnh rộng hơn. Kể từ DeFi Summer 2020, hàng loạt doanh nghiệp – từ quỹ đầu tư, công ty công nghệ, đến các ngân hàng truyền thống – bắt đầu tham gia hệ sinh thái on-chain. Họ gửi tài sản vào các giao thức, tham gia quản trị DAO, và sử dụng stablecoin để thanh toán. Nhưng song song với đó, nhân viên ở mọi cấp bậc cũng tự ý sử dụng các tài khoản cá nhân để thực hiện các giao dịch liên quan đến công việc, vì tiện lợi, vì thiếu hướng dẫn, hoặc vì tò mò.
Vấn đề tương tự như “Shadow IT” trong thế giới công nghệ thông tin truyền thống: nhân viên dùng ứng dụng SaaS không được phê duyệt để chia sẻ file hay tổ chức họp. Nhưng trong Web3, hậu quả nặng nề hơn nhiều, bởi vì mọi giao dịch đều bất biến và có thể bị khai thác. Các cơ chế bảo vệ của doanh nghiệp – như ví đa chữ ký, ký quỹ, danh sách trắng địa chỉ – thường không được áp dụng khi nhân viên dùng ví cá nhân.
Core
Từ góc nhìn của một kiến trúc sư quản trị DAO, tôi nhận thấy có bốn lớp rủi ro chính mà doanh nghiệp cần đối mặt:
- Rủi ro về tính toàn vẹn của giao dịch: Khi nhân viên sử dụng ví cá nhân, họ thường không kiểm tra chi tiết giao dịch một cách cẩn thận. Các tấn công như “address poisoning” (gửi token rác để qua mắt lịch sử giao dịch) hay “permit phishing” (kẻ tấn công lừa người dùng ký thông điệp cho phép rút token) dễ nhắm vào những tài khoản ít được bảo vệ.
- Rủi ro về tuân thủ pháp lý: Nhiều quốc gia đã yêu cầu các giao dịch trên sàn tập trung phải KYC. Nhưng DEX và cầu nối cross-chain thường không có KYC. Nhân viên sử dụng chúng để chuyển tiền có thể vô tình vi phạm quy định về chuyển tiền xuyên biên giới, đặc biệt đối với các quỹ đầu tư có giấy phép quản lý tài sản.
- Rủi ro về lộ lọt chiến lược: Các doanh nghiệp tham gia mua bán token thường có kế hoạch tích lũy hoặc thanh lý. Nếu nhân viên swap trên DEX bằng địa chỉ cá nhân – và địa chỉ đó bị phát hiện thuộc về công ty qua các công cụ phân tích on-chain (như Nansen, Arkham) – thì chiến lược thị trường có thể bị phá vỡ. Các bot giao dịch theo dõi cá voi sẽ săn lùng.
- Rủi ro về kiểm soát nội bộ: Trong một DAO, mỗi thành viên thường có quyền bỏ phiếu bằng token quản trị. Nếu nhân viên sử dụng ví cá nhân có chứa token của DAO đó, mà không nằm trong hệ thống quản trị của doanh nghiệp, thì doanh nghiệp mất kiểm soát đối với các quyết định quan trọng (như đề xuất nâng cấp protocol).
Trong quá trình audit các giao thức DeFi, tôi đã từng thấy một trường hợp: nhân viên kỹ thuật của một công ty vay mượn sử dụng account cá nhân trên Aave để test một tính năng mới, vô tình kích hoạt một lệnh thanh lý khi giá biến động, khiến công ty mất 500,000 USDC. Lỗi không phải ở giao thức, mà ở quy trình quản lý tài khoản của công ty.
Contrarian
Một góc nhìn phản trực giác: Nhiều doanh nghiệp nghĩ rằng mua giải pháp “Enterprise Wallet” hoặc “MPC Wallet” sẽ giải quyết triệt để vấn đề. Nhưng thực tế, rủi ro lớn nhất không nằm ở ví hay giao thức, mà ở văn hóa và đào tạo. Nhân viên vẫn sẽ tìm cách dùng ví cá nhân nếu họ thấy nó tiện hơn, nếu không có chính sách rõ ràng, hoặc nếu họ không hiểu tại sao điều đó lại nguy hiểm.

Từ kinh nghiệm vận hành DEI (Decentralized Education Initiative), tôi nhận ra rằng giáo dục là gas của DAO. Cũng tương tự, giáo dục là “gas” cho bảo mật doanh nghiệp trong Web3. Các chương trình đào tạo về an toàn on-chain, về cách nhận diện phishing, về quy tắc sử dụng tài sản số – nếu được triển khai đúng cách – có thể giảm 80% rủi ro Shadow Web3. Còn công nghệ chỉ là lớp bảo vệ cuối cùng.
Thêm vào đó, tôi cho rằng các nhà cung cấp dịch vụ Web3 enterprise (như Fireblocks, BitGo) đang có một lỗ hổng trong sản phẩm của họ: họ tập trung vào bảo vệ tài sản của doanh nghiệp, nhưng lại bỏ qua việc kiểm soát hành vi của nhân viên. Họ nên tích hợp các công cụ giám sát “employee on-chain activity” – ví dụ, cảnh báo nếu một địa chỉ ví doanh nghiệp tương tác với một địa chỉ chưa được phê duyệt, hoặc nếu có dấu hiệu của DeFi cá nhân.

Takeaway
Rủi ro lớn nhất trong Web3 enterprise không phải là lỗ hổng smart contract hay hack protocol. Đó là con người – những nhân viên với ý định tốt nhưng thiếu hiểu biết. Khi chúng ta xây dựng các tổ chức phi tập trung, chúng ta thường quên mất rằng con người vẫn cần được “tập trung hóa” trong quy trình đào tạo và kiểm soát.
Bài học tôi rút ra từ ICO 2017 và từ những lần thất bại trong DAO: Đồng thuận không được mua – được xây. Và đồng thuận về bảo mật cũng vậy. Nếu doanh nghiệp không xây dựng văn hóa sử dụng Web3 an toàn, mọi khoản đầu tư vào ví doanh nghiệp và audit sẽ chỉ là lớp sơn bên ngoài.
Tôi để lại một câu hỏi cho những ai đang quản lý quỹ hoặc DAO: Bạn có chắc rằng không có bất kỳ nhân viên nào trong tổ chức của bạn đang dùng ví cá nhân để swap trên DEX, để vote trong một DAO khác, hoặc để claim airdrop từ một giao thức mà họ đang test? Nếu câu trả lời là “tôi không biết” – thì bạn đã có vấn đề rồi.