Cụ thể, Công ty bảo mật blockchain Verichains (Việt Nam) đã đưa ra cảnh báo về lỗ hổng bảo mật nghiêm trọng định danh VSA-2022-100 trong thuật toán xử lý Merkle Tree. Qua đó cho phép tin tặc làm giả IAVL qua nhiều thư viện Tendermint Core và BNB Chain.
Thông qua lỗ hổng, tin tặc có thể đánh cắp tài sản trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK. Đây là 2 nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập).
Ông Nguyễn Lê Thành, nhà sáng lập Verichains cho biết, lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain từ tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.
Nhóm phát triển Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗ hổng bảo mật. Tuy nhiên, bản vá không được phát hành cho Tendermint do thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.
Do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án, chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng, nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể.
Ví dụ, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong xác minh Proof Range của IAVL trong mã code.
Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core chưa được vá và có nguy cơ bị khai thác, dẫn đến mất mát tài sản đáng kể.
Verichains cho biết, đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.
Năm 2022, hàng loạt cầu nối blockchain bị tấn công sau khi tin tặc xác định và khai thác lỗ hổng. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗ hổng này có thể dẫn đến các cuộc tấn công tiếp theo và gây thiệt hại về tài chính.
Theo ông Nguyễn Lê Thành, các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể ảnh hưởng lớn đến dự án.
Theo chính sách công bố lỗ hổng bảo mật, Verichains phát hành khuyến cáo cho người dùng sau 120 ngày. Công ty kêu gọi những dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật để phòng tránh những sự cố đáng tiếc.
Theo ông Thành, lỗ hổng bảo mật nghiêm trọng của các thư viện thường liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Đội ngũ duy trì thư viện và quản lý dự án đều có trách nhiệm xử lý, phòng tránh rủi ro bảo mật. Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật bản vá tức thời, cũng như thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này nhờ những lợi ích như các tính năng đặc biệt và bảo mật.
Trong khi đó, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng, bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng. Họ có trách nhiệm giữ an toàn cho quỹ của người dùng.
Không chỉ đội ngũ duy trì thư viện và dự án blockchain, người dùng cần nắm bắt, tuân thủ chính sách bảo mật của nền tảng.
Dù blockchain được xem là một trong những công nghệ bảo mật cao nhất hiện nay nhưng vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Vì vậy, người dùng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản, quan tâm đến độ bảo mật của nền tảng mà mình tham gia.
Các lỗ hổng bảo mật được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử thường được đăng trên website của công ty.
Tuệ Minh
09:00 | 24/10/2022
10:00 | 26/05/2023
13:00 | 23/03/2023
07:00 | 20/04/2023
10:00 | 24/03/2023
16:00 | 19/10/2022
13:05 | 19/08/2014
09:00 | 21/01/2023
11:00 | 03/09/2024
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
Thông qua diễn tập thực chiến vừa tổ chức, các cơ quan, đơn vị trong Ban Cơ yếu Chính phủ đã có cơ hội nhìn nhận, đánh giá năng lực ứng phó của đơn vị mình trước những mối nguy hại, cuộc tấn công trên không gian mạng.
10:00 | 04/10/2024