|
|
Trang chủ của Tendermint. |
Công ty bảo mật blockchain Verichains của Việt Nam vừa đưa ra cảnh báo VSA-2022-100 về các lỗi bảo mật trong thuật toán xử lý Merkle Tree (cấp nguy hiểm) và VSA-2022-101 về tấn công làm giả IAVL qua nhiều lỗi bảo mật cấp độ nguy hiểm trên thư viện nền tảng Tendermint Core và BNB Chain.
Trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK, tin tặc có thể đánh cắp tài sản thông qua lỗ hổng. Nhiều dự án nổi tiếng, bao gồm BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập), sử dụng hai nền tảng blockchain này.
Nguy cơ thiệt hại lớn
Trả lời Zing, ông Nguyễn Lê Thành, nhà sáng lập Verichains, cho biết lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain hồi tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.
Theo Thành, các chuyên gia của Verichains đã tìm thấy một số lỗ hổng nghiêm trọng ở thư viện Tendermint Core, có thể dẫn đến một vụ tấn công giống như trường hợp BNB Chain.
Nhóm phát triển Tendermint và Cosmos đã xác nhận báo cáo và xác nhận lỗi bảo mật. Tuy nhiên, vì thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó, nên bản vá không được phát hành cho Tendermint.
Tuy nhiên, chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án.
Chẳng hạn, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong mã code xác minh Proof Range của IAVL.
 |
| Trang chủ của Cosmos. |
Theo ông Thành, "Phản hồi này có phần chưa đáng trên phương diện bảo mật thông tin, bởi thư viện Tendermint Core ngoài Cosmos-SDK/IBC còn được dùng bởi các dự án tên tuổi khác như BNB Chain, OKX Chain và Band Chain."
Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core chưa được sửa lỗi có nguy cơ bị khai thác lỗ hổng, dẫn đến mất mát tài sản đáng kể.
Theo Verichains, đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và đã khắc phục trong ngày. Sau đó, không còn đợt tấn công và mất mát xảy ra sau đó.
Cần xử lý và thông báo nhanh chóng
Sau khi các hacker xác định và khai thác điểm yếu, hàng loạt cầu nối blockchain đã bị tấn công vào năm 2022. Nếu không được sửa chữa, cấp độ nguy hiểm của những lỗi này có thể dẫn đến các cuộc tấn công tiếp theo và sự mất mát tiền tệ tương ứng, trong một số trường hợp có thể dẫn đến hàng triệu hoặc thậm chí hàng tỷ USD.
Ông Nguyễn Lê Thành tuyên bố rằng các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể có tác động đáng kể đến dự án.
Do là mã nguồn mở, các thư viện mở như Tendermint Core thường có tính bảo mật tương đối cao. Theo nhà sáng lập Verichains, lỗ hổng mà Verichains tìm thấy không phải là lỗi phổ biến; thay vào đó, nó thường chỉ có thể được tìm thấy bởi những người có kiến thức chuyên sâu về mật mã và bảo mật.
Theo chính sách công bố lỗi bảo mật có trách nhiệm, Verichains sẽ phát hành khuyến cáo cho công chúng sau 120 ngày.
Để ngăn chặn những sự cố mất mát đáng tiếc, công ty yêu cầu các dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật.
 |
| Ảnh chụp Binance trên kho ứng dụng App Store. Ảnh: Bloomberg. |
Ông Thành cho rằng các thư viện thường mắc lỗi bảo mật nghiêm trọng liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Trách nhiệm xử lý, phòng ngừa rủi ro bảo mật thuộc cả đội ngũ duy trì thư viện và quản lý dự án.
"Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật vá lỗi ngay lập tức và thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này vì những lợi ích như các tính năng đặc biệt và an ninh.
Bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng. Ông Thành chia sẻ với Zing.
Người đầu tư phải nắm bắt, tuân thủ chính sách bảo mật của nền tảng, không chỉ đội ngũ duy trì thư viện và dự án blockchain.
"Dù blockchain được coi là một trong những công nghệ bảo mật cao nhất hiện nay, vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Theo nhà sáng lập Verichains, người đầu tư hoặc tham gia nền tảng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản và quan tâm đến độ bảo mật của nền tảng mà họ tham gia.
Các lỗ hổng bảo mật và điểm yếu được phát hiện bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm tra thường được công bố trên trang web của công ty.
Để ngăn chặn hiểu lầm và hiểu sai về blockchain, chúng tôi đã làm điều này để ngăn chặn việc hiểu sai và hiểu sai về nó.
Mặc dù nó có tiềm năng thay đổi nhiều ngành công nghiệp, nhưng blockchain vẫn là một lĩnh vực rất mới. Phần lớn người quan sát nghĩ rằng blockchain liên kết với tiền mã hóa cùng hàng loạt bê bối trong thị trường này, nhưng thực chất công nghệ chuỗi khối rộng hơn nhiều.
Mục Công nghệ giới thiệu Những bài viết, cuốn sách hay nhất về blockchain để độc giả tìm hiểu thêm về công nghệ được đánh giá cao hiện nay.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống