Cụ thể, Công ty bảo mật blockchain Verichains (Việt Nam) đã đưa ra cảnh báo về lỗ hổng bảo mật nghiêm trọng định danh VSA-2022-100 trong thuật toán xử lý Merkle Tree. Qua đó cho phép tin tặc làm giả IAVL qua nhiều thư viện Tendermint Core và BNB Chain.
Thông qua lỗ hổng, tin tặc có thể đánh cắp tài sản trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK. Đây là 2 nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập).
Ông Nguyễn Lê Thành, nhà sáng lập Verichains cho biết, lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain từ tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.
Nhóm phát triển Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗ hổng bảo mật. Tuy nhiên, bản vá không được phát hành cho Tendermint do thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.
Do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án, chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng, nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể.
Ví dụ, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong xác minh Proof Range của IAVL trong mã code.
Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core chưa được vá và có nguy cơ bị khai thác, dẫn đến mất mát tài sản đáng kể.
Verichains cho biết, đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.
Năm 2022, hàng loạt cầu nối blockchain bị tấn công sau khi tin tặc xác định và khai thác lỗ hổng. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗ hổng này có thể dẫn đến các cuộc tấn công tiếp theo và gây thiệt hại về tài chính.
Theo ông Nguyễn Lê Thành, các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể ảnh hưởng lớn đến dự án.
Theo chính sách công bố lỗ hổng bảo mật, Verichains phát hành khuyến cáo cho người dùng sau 120 ngày. Công ty kêu gọi những dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật để phòng tránh những sự cố đáng tiếc.
Theo ông Thành, lỗ hổng bảo mật nghiêm trọng của các thư viện thường liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Đội ngũ duy trì thư viện và quản lý dự án đều có trách nhiệm xử lý, phòng tránh rủi ro bảo mật. Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật bản vá tức thời, cũng như thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này nhờ những lợi ích như các tính năng đặc biệt và bảo mật.
Trong khi đó, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng, bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng. Họ có trách nhiệm giữ an toàn cho quỹ của người dùng.
Không chỉ đội ngũ duy trì thư viện và dự án blockchain, người dùng cần nắm bắt, tuân thủ chính sách bảo mật của nền tảng.
Dù blockchain được xem là một trong những công nghệ bảo mật cao nhất hiện nay nhưng vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Vì vậy, người dùng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản, quan tâm đến độ bảo mật của nền tảng mà mình tham gia.
Các lỗ hổng bảo mật được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử thường được đăng trên website của công ty.
Tuệ Minh
09:00 | 24/10/2022
10:00 | 26/05/2023
13:00 | 23/03/2023
07:00 | 20/04/2023
10:00 | 24/03/2023
16:00 | 19/10/2022
13:05 | 19/08/2014
09:00 | 21/01/2023
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024