Đó là vì blockchain lưu dữ liệu bằng các quy tắc phần mềm sáng tạo và thuật toán phức tạp, rất khó để những kẻ tấn công thao túng. Nhưng sự an toàn của ngay cả những hệ thống blockchain được thiết kế tốt nhất vẫn có thể thất bại tại những nơi mà các quy tắc toán học và phần mềm tiếp xúc với con người, những chuyên gia chọc phá có kỹ năng, và trong thế giới thực, mọi thứ có thể biến thành mớ hỗn độn.
Để hiểu lý do tại sao, hãy bắt đầu với việc tìm hiểu điều gì khiến blockchains "an toàn". Bitcoin là một ví dụ điển hình. Trong blockchain của Bitcoin, dữ liệu được chia sẻ là lịch sử của mọi giao dịch Bitcoin từng được thực hiện: sổ cái kế toán. Sổ cái được lưu trữ thành nhiều bản sao trên một mạng máy tính, được gọi là "nút" (node). Mỗi lần ai đó gửi một giao dịch đến sổ kế toán, các nút sẽ kiểm tra để đảm bảo giao dịch hợp lệ. Một tập hợp các giao dịch hợp lệ tạo thành "các khối" (blocks) và xếp chúng vào một chuỗi các giao dịch trước đó. Các chủ sở hữu của các nút này được gọi là thợ mỏ. Những thợ mỏ được đưa vào các khối mới trong chuỗi sẽ kiếm bitcoin làm phần thưởng.
Về lý thuyết, có 2 điều khiến hệ thống này không thể bị thay đổi: một là dấu vân tay mã hóa duy nhất cho mỗi khối, và hai là một "giao thức đồng thuận", quá trình mà các nút trong mạng đều đồng ý về một lịch sử được chia sẻ.
Dấu vân tay, được gọi là băm, mất rất nhiều thời gian tính toán và năng lượng để tạo ra vào lúc đầu. Do đó, nó là bằng chứng cho thấy các thợ mỏ thêm khối vào blockchain đã thực hiện công việc tính toán để kiếm phần thưởng bitcoin (vì lý do này, Bitcoin được cho là sử dụng giao thức "chứng minh-đã-làm việc"). Nó cũng như một loại con dấu, vì việc thay đổi khối sẽ yêu cầu tạo ra một băm mới. Rất dễ để xác minh xem băm có khớp với khối của nó hay không và một khi các nút đã thực hiện lệnh vì thế chúng cập nhật các bản sao khối lệnh tương ứng với khối mới. Đây chính là giao thức đồng thuận.
Yếu tố bảo mật cuối cùng là các hash (băm) cũng đóng vai trò như các liên kết trong blockchain: mỗi khối bao gồm băm duy nhất của khối trước đó. Vì vậy, nếu bạn muốn thay đổi một mục trong sổ cái kế toán trước, bạn phải tính toán một băm mới không chỉ cho khối đó mà còn cho mỗi khối tiếp theo. Và bạn phải làm điều này nhanh hơn các nút khác mới có thể thêm các khối mới vào chuỗi. Vì vậy, trừ khi bạn có những máy tính mạnh hơn tất cả các nút khác hợp lại, (thậm chí như vậy, vẫn không đảm bảo thành công), bất kỳ khối nào mà bạn thêm sẽ xung đột với các nút hiện có và các nút khác sẽ tự động từ chối các thay đổi của bạn. Đây là những điều khiến dữ liệu trong blockchain không thể bị giả mạo hay thay đổi.
Tất cả những điều trên là lý thuyết. Thực hiện chúng khó khăn hơn nhiều. Thực tế là một hệ thống hoạt động như Bitcoin — hay các loại tiền điện tử khác — không có nghĩa hoàn toàn an toàn. Ngay cả khi các nhà phát triển sử dụng các công cụ mã hóa đã được thử nghiệm và thực sự, theo Neha Narula, giám đốc Sáng kiến tiền tệ kỹ thuật số của MIT, thật dễ dàng để vô tình đặt chúng lại với nhau theo những cách không an toàn. Bitcoin đã tồn tại lâu nhất, do đó, nó là thử nghiệm triệt để nhất.
Mọi người cũng đã tìm thấy một số cách "sáng tạo" để ăn gian trong blockchain. Emin Gün Sirer và các cộng sự của ông tại Đại học Cornell chỉ ra có một cách để phá hoại một blockchain ngay cả khi bạn có chưa đến một nửa sức mạnh khai thác của các thợ mỏ khác. Nói chi tiết thì rất kỹ thuật, nhưng về cơ bản, một "thợ mỏ ích kỷ" có thể đạt được một lợi thế không công bằng bằng cách đánh lừa các nút khác lãng phí thời gian vào các câu đố mã hóa đã được giải quyết.
Một khả năng khác là "tấn công nhật thực". Các nút trên blockchain phải duy trì liên lạc thường xuyên để so sánh dữ liệu. Một kẻ tấn công cố kiểm soát thông tin liên lạc của một nút và đánh lừa nó chấp nhận dữ liệu giả mạo như là đến từ phần còn lại của mạng lưới. Chiêu thức này có thể lừa các nút lãng phí tài nguyên hoặc xác nhận giao dịch giả mạo.
Cuối cùng, dù quy tắc của blockchain là không thể thay đổi, nhưng điều đó "không tồn tại trong thực tế". Những vụ tấn công vào tiền điện tử gần đây thường là do các thất bại xảy ra ở một điểm nào đó khi hệ thống blockchain kết nối với thế giới thực - ví dụ, trong kết nối giữa khách hàng phần mềm và các ứng dụng của bên thứ ba.
Tin tặc có thể đột nhập vào "ví nóng", là các ứng dụng kết nối internet lưu trữ các khóa mật mã riêng mà bất kỳ ai sở hữu tiền điện tử đều cần để tiêu bitcoin. Những ví tiền của các trao đổi tiền điện tử trực tuyến đã trở thành mục tiêu chính của hacker. Nhiều sàn giao dịch cho biết họ giữ hầu hết tiền của người dùng trong ví phần cứng "lạnh" - là các thiết bị lưu trữ bị ngắt kết nối khỏi internet. Nhưng như vụ tấn công hồi tháng Giêng làm bốc hơi hơn 500 triệu USD tiền điện tử trên sàn giao dịch Coincheck ở Nhật Bản cho thấy, mọi thứ không luôn luôn như vậy.
Có lẽ các điểm tiếp xúc phức tạp nhất giữa blockchain và thế giới thực là "hợp đồng thông minh", trong đó các chương trình máy tính được lưu trữ trong một số loại blockchain có thể tự động hóa các giao dịch. Trong năm 2016, tin tặc khai thác một điểm yếu không lường trước được trong một hợp đồng thông minh được viết trên blockchain của tiền Ethereum và ăn cắp 3,6 triệu ether, trị giá khoảng 80 triệu USD vào thời điểm đó, từ Tổ chức tự trị phân cấp (DAO), một loại quỹ đầu tư dựa trên blockchain mới.
Vì mã DAO tồn tại trên blockchain, cộng đồng Ethereum đã phải đẩy một bản nâng cấp phần mềm gây tranh cãi để lấy lại tiền — về cơ bản là tạo ra một phiên bản mới của lịch sử trong đó tiền không bao giờ bị đánh cắp. Các nhà nghiên cứu vẫn đang phát triển các phương pháp nhằm đảm bảo các hợp đồng thông minh không bị sai sót.
Một đảm bảo được cho là an toàn của hệ thống blockchain là tính "phân tán, rộng rãi". Nếu các bản sao của blockchain được lưu giữ trên một mạng lưới các nút phân tán và rộng rãi, thì không có điểm yếu nào để tấn công, và khó có thể xây dựng đủ sức mạnh tính toán để phá hoại mạng. Nhưng nghiên cứu gần đây của Sirer và các đồng nghiệp cho thấy cả Bitcoin và Ethereum đều không phân cấp như bạn nghĩ. Họ nhận thấy bốn hoạt động đào bitcoin hàng đầu chiếm hơn 53% công suất khai thác trung bình của hệ thống mỗi tuần. Và như vậy, ba thợ mỏ Ethereum chiếm đến 61% phần thưởng.
Một số người nói rằng các giao thức đồng thuận thay thế, có lẽ là những giao thức không phụ thuộc vào đào tiền ảo, có thể an toàn hơn. Nhưng giả thuyết này chưa được thử nghiệm ở quy mô lớn, và các giao thức mới có thể vẫn sẽ có vấn đề an ninh riêng.
Những người khác lại cho rằng sự an toàn, bảo mật nằm ở việc blockchain yêu cầu phải có sự cho phép mới được tham gia, chứ không như trường hợp Bitcoin, bất kỳ ai tải xuống phần mềm đều có thể tham gia mạng.
Tuy nhiên, hệ thống "cấp quyền" vẫn đặt ra nhiều câu hỏi. Ai có thẩm quyền cấp quyền? Làm thế nào hệ thống đảm bảo rằng các nhà xác nhận chính là "những nhà xác nhận"? Một hệ thống cấp phép có thể làm cho chủ sở hữu cảm thấy an toàn hơn, nhưng nó thực sự cho phép họ kiểm soát nhiều hơn, có nghĩa là họ có thể thực hiện thay đổi cho dù những người tham gia mạng khác có đồng ý hay không.
Tóm lại, theo trang Techology Review, "an toàn" là điều rất khó xác định trong blockchain. An toàn với ai? An toàn cho những gì? "Tất cả phụ thuộc vào quan điểm của bạn", Narula nói.