Để thực hiện Chính sách Công bố lỗi bảo mật có trách nhiệm của mình, Verichains đã phát hành khuyến cáo bảo mật số VSA-2022-100, chia sẻ về một lỗi bảo mật trong thuật toán xử lý Merkle Tree Cấp độ Nguy hiểm và VSA-2022-10, nói về việc tấn công làm giả IAVL qua nhiều lỗi bảo mật cấp độ nguy hiểm trên Tendermint Core và BNB Chain (CVE-2023-27575).
Hai nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng, bao gồm BNB Smart Chain (BSC), OKX Chain, Band Chain và dự án nhiều tai tiếng Terra (LUNA), sử dụng Cơ chế đồng thuận Tendermint BFT và Cosmos-SDK.
Verichains vừa đưa ra cảnh báo về một lỗi bảo mật trong blockchain
AFP
Trong khi Binance khắc phục sự cố tấn công cầu nối BNB Chain vào tháng 10 năm ngoái, Verichains đã tìm thấy lỗ hổng này. Theo các chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL nói trên, lỗ hổng này có thể gây ra tổn thất tài chính đáng kể nếu được khai thác.
Các lỗ hổng đã được xác nhận và một thông báo bảo mật riêng tương tự cũng đã được gửi đến đội phát triển Tendermint/Cosmos. Tuy nhiên, vì thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó, nên bản vá không được phát hành cho thư viện Tendermint.
Tuy nhiên, chúng ta có thể giả định nguy cơ tác động đáng kể do sự phổ biến của Tendermint và số lượng tài sản khổng lồ được cất giữ bởi các dự án. Chẳng hạn, vào tháng 10 năm ngoái, Cầu nối BNB Chain đã bị khai thác để phát hành trái phép 2 triệu BNB, trị giá khoảng 566 triệu USD, do một lỗ hổng trong xác minh Proof Range của IAVL trong mã code.
Vào tháng 10, khi mối quan hệ đối tác có sẵn, Verichains cũng đã thông báo cho Đội ngũ BNB Chains về những phát hiện này, và sự cố đã được khắc phục trong ngày. Sau đó, không còn đợt tấn công cũng như mất mát xảy ra sau đó.
Verichains đã tuân thủ Chính sách Công bố lỗi bảo mật có trách nhiệm và thông báo cho công chúng sau 120 ngày. Để ngăn chặn những mất mát đáng tiếc, Verichains đã yêu cầu các dự án Web3 sử dụng xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật.
Sau khi hacker xác định và khai thác các điểm yếu, hàng loạt cầu nối blockchain đã bị tấn công vào năm vừa qua. Nếu không được sửa chữa, cấp độ nguy hiểm của những lỗi này có thể dẫn đến các cuộc tấn công tiếp theo và sự mất mát tiền tệ tương ứng, trong một số trường hợp có thể lên tới hàng triệu hoặc thậm chí hàng tỉ USD.
Được biết, Verichains là một công ty bảo mật blockchain hàng đầu chuyên về đánh giá bảo mật, đào tạo, phát triển công cụ phân tích bảo mật tự động và phân tích ngược phần mềm. Công ty được thành lập vào năm 2017, sử dụng kiến thức chuyên sâu về bảo mật, mật mã học và công nghệ lõi blockchain để điều tra và khắc phục các vấn đề bảo mật trong một số cuộc tấn công tiền điện tử toàn cầu quan trọng, chẳng hạn như Cầu nối BNB và Cầu nối Ronin.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: thanhnien.vn
Tham gia bình luận