Cảnh báo lỗ hổng bảo mật nguy hiểm cho các dự án Blockchain

12:00 | 10/03/2023 | LỖ HỔNG ATTT

Verichains cảnh báo lỗ hổng bảo mật nghiêm trọng trong thư viện nền tảng Tendermint Core, có thể dẫn đến thiệt hại tài sản với các dự án Blockchain nổi tiếng.

Cụ thể, Công ty bảo mật blockchain Verichains (Việt Nam) đã đưa ra cảnh báo về lỗ hổng bảo mật nghiêm trọng định danh VSA-2022-100 trong thuật toán xử lý Merkle Tree. Qua đó cho phép tin tặc làm giả IAVL qua nhiều thư viện Tendermint Core và BNB Chain.

Thông qua lỗ hổng, tin tặc có thể đánh cắp tài sản trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK. Đây là 2 nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập).

Nguy cơ thiệt hại lớn

Ông Nguyễn Lê Thành, nhà sáng lập Verichains cho biết, lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain từ tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.

Nhóm phát triển Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗ hổng bảo mật. Tuy nhiên, bản vá không được phát hành cho Tendermint do thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.

Do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án, chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng, nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể.

Ví dụ, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong xác minh Proof Range của IAVL trong mã code.

Cảnh báo lỗ hổng bảo mật nguy hiểm cho các dự án Blockchain

Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core chưa được vá và có nguy cơ bị khai thác, dẫn đến mất mát tài sản đáng kể.

Verichains cho biết, đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.

Cần xử lý và thông báo nhanh chóng

Năm 2022, hàng loạt cầu nối blockchain bị tấn công sau khi tin tặc xác định và khai thác lỗ hổng. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗ hổng này có thể dẫn đến các cuộc tấn công tiếp theo và gây thiệt hại về tài chính.

Theo ông Nguyễn Lê Thành, các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể ảnh hưởng lớn đến dự án.

Theo chính sách công bố lỗ hổng bảo mật, Verichains phát hành khuyến cáo cho người dùng sau 120 ngày. Công ty kêu gọi những dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật để phòng tránh những sự cố đáng tiếc.

Theo ông Thành, lỗ hổng bảo mật nghiêm trọng của các thư viện thường liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Đội ngũ duy trì thư viện và quản lý dự án đều có trách nhiệm xử lý, phòng tránh rủi ro bảo mật. Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật bản vá tức thời, cũng như thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này nhờ những lợi ích như các tính năng đặc biệt và bảo mật.

Trong khi đó, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng, bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng. Họ có trách nhiệm giữ an toàn cho quỹ của người dùng.

Không chỉ đội ngũ duy trì thư viện và dự án blockchain, người dùng cần nắm bắt, tuân thủ chính sách bảo mật của nền tảng.

Dù blockchain được xem là một trong những công nghệ bảo mật cao nhất hiện nay nhưng vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Vì vậy, người dùng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản, quan tâm đến độ bảo mật của nền tảng mà mình tham gia.

Các lỗ hổng bảo mật được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử thường được đăng trên website của công ty.

Tuệ Minh

‹ › ×

Tin liên quan

Blockchain – Con đường mở ra những tiềm năng mới trong nền kinh tế toàn cầu

09:00 | 24/10/2022

Trong hai ngày 19-20/10, Hội nghị thượng đỉnh Blockchain Việt Nam 2022 (Vietnam Blockchain Summit 2022) đã diễn ra với nhiều hoạt động và để lại nhiều ấn tượng sâu sắc, thu hút hàng trăm đại biểu, diễn giả, các chuyên gia với nhiều tên tuổi công nghệ Blockchain hàng đầu thế giới và Việt Nam tham dự. Dưới sự bảo trợ bởi Ban cơ yếu Chính phủ, Hội nghị được định vị là một sự kiện thường niên quy mô quốc tế, nằm trong chuỗi các sự kiện Blockchain hấp dẫn nhất toàn cầu.

Đột phá mới từ sự kết hợp Blockchain với IoT và AI

10:00 | 26/05/2023

Trong thời đại số, sự phát triển của các công nghệ như trí tuệ nhân tạo (Artificial Intelligence - AI), Metaverse, Web 3.0, tiền điện tử (Stablecoin), mạng xã hội, truyền thông 6G, Big data, Blockchain và Internet of Things (IoT) đang thúc đẩy sự thay đổi toàn diện về cách thức quản lý, trao đổi và sử dụng thông tin. Những công nghệ này đang trở thành những công cụ quan trọng để tạo ra những hệ thống thông tin an toàn, thông minh, hiệu quả và đáng tin cậy trong nhiều lĩnh vực. Trong giới hạn nội dung bài báo này, tác giả sẽ giới thiệu về xu hướng kết hợp công nghệ Blockchain với công nghệ IoT và AI trong tương lai gần để tạo ra những giải pháp, sản phẩm khoa học công nghệ mới cho thế giới kỹ thuật số.

Cisco vá lỗ hổng bảo mật nghiêm trọng trong bộ định tuyến doanh nghiệp

13:00 | 23/03/2023

Mới đây, Cisco đã phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng tồn tại trong phần mềm IOS XR dành cho các bộ định tuyến doanh nghiệp ASR 9000, ASR 9902 và ASR 9903. Người dùng cần cập nhật bản vá để tránh bị tin tặc lợi dụng tấn công.

Tin tặc ngày càng phát triển những thủ đoạn tấn công tinh vi và khai thác lỗ hổng nhanh hơn bao giờ hết

07:00 | 20/04/2023

Rapid7 - Công ty tiên phong trong lĩnh vực phát hiện mối đe dọa và rủi ro trên đám mây mới đây vừa phát hành Báo cáo thông tin lỗ hổng, được nghiên cứu trên 50 lỗ hổng bảo mật nổi bật nhất và các cuộc tấn công mạng có tác động mạnh trong năm 2022.

Google phát hiện 18 lỗ hổng zero-day trong chip Exynos của Samsung

10:00 | 24/03/2023

Ngày 16/3, nhóm bảo mật Project Zero của Google đã phát hiện 18 lỗ hổng zero-day trong chip Exynos của Samsung thường được sử dụng trong các thiết bị di động, thiết bị đeo tay và ô tô. Trong đó, 4 lỗ hổng được xác định là nghiêm trọng, cho phép tin tặc khai thác từ xa để chiếm quyền điều khiển trên điện thoại mà không yêu cầu bất kỳ tương tác nào từ phía người dùng.

Xu hướng phát triển các nền tảng, công nghệ Blockchain

16:00 | 19/10/2022

Sáng 19/10, Hội nghị thượng đỉnh Blockchain Việt Nam 2022 (Vietnam Blockchain Summit 2022) được bảo trợ bởi Ban Cơ yếu Chính phủ đã chính thức khai mạc và diễn ra đến hết ngày 20/10. Năm nay, các chuyên đề được Hội nghị tập trung bàn thảo sâu về: Xu hướng phát triển các nền tảng, công nghệ Blockchain; Phát triển nguồn nhân lực Blockchain cho Việt Nam; Khuyến nghị chính sách tiếp cận Blockchain…

Những lỗ hổng bảo mật nguy hiểm nhất hiện nay

13:05 | 19/08/2014

Theo báo cáo của hãng bảo mật Trend Micro, những mã độc xuất hiện sau thường có mức độ nguy hại cao hơn nhiều lần so với các mã độc trước đó. au máy tính cá nhân, điện thoại di động đang trở thành mục tiêu cho các lỗi bảo mật mới có thể dẫn đến mất cắp dữ liệu hoặc xâm nhiễm thiết bị nếu bị khai thác.

Lỗ hổng bảo mật nghiêm trọng được tìm thấy trong thư viện Jsonwebtoken đang được hơn 22.000 dự án sử dụng

09:00 | 21/01/2023

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư viện mã nguồn mở Jsonwebtoken (JWT), nếu khai thác thành công, tin tặc có thể thực thi mã từ xa trên máy chủ mục tiêu.

Tin cùng chuyên mục

Cảnh báo lỗ hổng có điểm CVSS 10/10 trong hệ điều hành của tường lửa PAN-OS

15:00 | 16/04/2024

Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

Tin tặc Trung Quốc tiến hành các cuộc tấn công gián điệp nhằm vào các tổ chức của Campuchia

10:00 | 22/11/2023

Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.