Verichains
cảnh báo lỗ hổng bảo mật nghiêm trọng trong thư viện nền tảng Tendermint Core,
có thể dẫn đến thiệt hại tài sản với các dự án Blockchain nổi tiếng.
Cụ thể, Công ty bảo mật
blockchain Verichains (Việt Nam) đã đưa ra cảnh báo về lỗ hổng bảo mật nghiêm
trọng định danh VSA-2022-100 trong thuật toán xử lý Merkle Tree. Qua đó cho
phép tin tặc làm giả IAVL qua nhiều thư viện Tendermint Core và BNB Chain.
Thông qua lỗ hổng, tin
tặc có thể đánh cắp tài sản trong các dự án sử dụng cơ chế đồng thuận
Tendermint BFT và Cosmos-SDK. Đây là 2 nền tảng blockchain được sử dụng bởi
nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra
(đã sập).
Nguy cơ thiệt hại lớn
Ông Nguyễn Lê Thành,
nhà sáng lập Verichains cho biết, lỗ hổng được phát hiện khi công ty hỗ trợ
Binance xử lý vụ tấn công cầu nối BNB Chain từ tháng 10/2022, với thiệt hại
được ước tính lên tới gần 600 triệu USD.
Nhóm phát triển
Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗ hổng bảo mật. Tuy nhiên,
bản vá không được phát hành cho Tendermint do thư viện IBC và Cosmos-SDK đã
chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.
Do sự phổ biến của
Tendermint và lượng tài sản đáng kể trong các dự án, chuyên gia bảo mật tham
gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng, nếu bị
khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể.
Ví dụ, cầu nối BNB
Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566
triệu USD do lỗ
hổng trong xác minh
Proof Range của IAVL trong mã code.
Theo nhà sáng lập
Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện
Tendermint Core chưa được vá và có nguy cơ bị khai thác, dẫn đến mất mát
tài sản đáng kể.
Verichains cho biết,
đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và khắc phục
trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.
Cần xử lý và thông báo
nhanh chóng
Năm 2022, hàng loạt
cầu nối blockchain bị tấn công sau khi tin tặc xác định và khai thác lỗ
hổng. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗ hổng này có thể
dẫn đến các cuộc tấn công tiếp theo và gây thiệt hại về tài chính.
Theo ông Nguyễn Lê Thành,
các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác
nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể ảnh hưởng lớn đến dự án.
Theo chính sách công
bố lỗ hổng bảo mật, Verichains phát hành khuyến cáo cho người dùng sau 120
ngày. Công ty kêu gọi những dự án Web3 sử dụng thư viện xác minh chứng thực
IAVL của Tendermint nâng cấp bảo mật để phòng tránh những sự cố đáng tiếc.
Theo ông Thành, lỗ
hổng bảo mật nghiêm trọng của các thư viện thường liên quan đến hiện thực giải
thuật đồng thuận, mật mã và lỗi xử lý logic. Đội ngũ duy trì thư viện và quản
lý dự án đều có trách nhiệm xử lý, phòng tránh rủi ro bảo mật. Với đội ngũ xây
dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập
nhật bản vá tức thời, cũng như thông báo các thay đổi cho cộng đồng. Động cơ
của họ là tăng số lượng dự án sử dụng mã nguồn mở này nhờ những lợi ích như các
tính năng đặc biệt và bảo mật.
Trong khi đó, các dự
án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở
người dùng, bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng. Họ có
trách nhiệm giữ an toàn cho quỹ của người dùng.
Không chỉ đội ngũ duy
trì thư viện và dự án blockchain, người dùng cần nắm bắt, tuân thủ chính sách
bảo mật của nền tảng.
Dù blockchain được xem
là một trong những công
nghệ bảo mật cao nhất hiện
nay nhưng vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Vì
vậy, người dùng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản, quan tâm đến
độ bảo mật của nền tảng mà mình tham gia.
Các lỗ hổng bảo mật
được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử
thường được đăng trên website của công ty./.
Nguồn:
https://antoanthongtin.vn/
Thanh tra tỉnh