Cảnh báo lỗ hổng bảo mật nguy hiểm cho các dự án Blockchain

 
Verichains cảnh báo lỗ hổng bảo mật nghiêm trọng trong thư viện nền tảng Tendermint Core, có thể gây thiệt hại tài sản với các dự án Blockchain nổi tiếng.

Công ty bảo mật blockchain Verichains (Việt Nam) cụ thể đã cảnh báo về lỗ hổng bảo mật nghiêm trọng định danh VSA-2022-100 trong thuật toán xử lý Merkle Tree. Do đó, tin tặc có thể làm giả IAVL thông qua nhiều thư viện BNB Chain và Tendermint Core.

Trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK, tin tặc có thể đánh cắp tài sản thông qua lỗ hổng. Nhiều dự án nổi tiếng, bao gồm BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập), sử dụng hai nền tảng blockchain này.

Nguy cơ thiệt hại lớn

Theo ông Nguyễn Lê Thành, nhà sáng lập Verichains, lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain từ tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.

Nhóm phát triển Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗ hổng bảo mật. Tuy nhiên, bản vá cho Tendermint đã không được phát hành cho Tendermint vì thư viện IBC và Cosmos-SDK đã chuyển sang xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.

Chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng, nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án.

Chẳng hạn, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong xác minh Proof Range của IAVL trong mã code.

Cảnh báo lỗ hổng bảo mật nguy hiểm cho các dự án Blockchain

Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core chưa được sửa chữa và có nguy cơ bị khai thác, dẫn đến mất mát tài sản đáng kể.

Theo Verichains, đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và đã khắc phục trong ngày. Sau đó, không còn đợt tấn công và mất mát xảy ra sau đó.

Cần xử lý và thông báo nhanh chóng

Sau khi tin tặc xác định và khai thác lỗ hổng, hàng loạt cầu nối blockchain đã bị tấn công vào năm 2022. Cấp độ nguy hiểm của những lỗ hổng này có thể dẫn đến các cuộc tấn công tiếp theo và thiệt hại về tài chính nếu chúng không được sửa chữa.

Ông Nguyễn Lê Thành tuyên bố rằng các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể có tác động đáng kể đến dự án.

Verichains phát hành khuyến cáo cho người dùng sau 120 ngày theo chính sách công bố lỗ hổng bảo mật. Để ngăn ngừa những sự cố đáng tiếc, công ty yêu cầu các dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật.

Ông Thành khẳng định rằng các lỗ hổng bảo mật nghiêm trọng của thư viện thường liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Việc xử lý rủi ro bảo mật được thực hiện bởi cả đội ngũ duy trì thư viện và quản lý dự án. Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật bản vá tức thời và thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này vì những lợi ích như các tính năng bảo mật và đặc biệt.

Bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng. Họ chịu trách nhiệm duy trì an toàn cho quỹ của người dùng.

Người dùng phải nắm bắt, tuân thủ chính sách bảo mật của nền tảng, không chỉ đội ngũ duy trì thư viện và dự án blockchain.

Mặc dù blockchain được coi là một trong những công nghệ bảo mật cao nhất hiện có, nhưng vẫn có khả năng lỗ hổng bảo mật trong hệ thống. Do đó, người dùng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản và quan tâm đến độ bảo mật của nền tảng mà họ tham gia.

Các lỗ hổng bảo mật do đội ngũ Verichains tìm thấy trong quá trình nghiên cứu và kiểm tra thường được công bố trên trang web của công ty.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống