-CertiK đã phát hiện ra một lỗ hổng lớn trong cầu Wormhole của Aptos, có khả năng dẫn đến vụ hack trị giá 5 triệu USD.
-Lỗi xuất phát từ sai sót trong việc triển khai ngôn ngữ lập trình MOVE, khiến hacker dễ dàng lấy cắp tiền.
-Nhóm Wormhole đã vá lỗ hổng trong vòng ba giờ và bổ sung các biện pháp bảo vệ để ngăn chặn các vụ hack trong tương lai.
-Wormhole đã từng bị khai thác trước đó, với vụ hack trước đó gây thiệt hại 320 triệu USD vào năm 2022.
Lỗi lớn bị bắt ở cầu Wormhole, ngăn chặn thảm họa tiềm ẩn
Một công ty bảo mật blockchain gần đây đã ngăn chặn một thảm họa tiềm ẩn bằng cách phát hiện một lỗi nghiêm trọng trong cầu Wormhole trên mạng Aptos. Lỗ hổng này nếu bị các tác nhân độc hại phát hiện có thể dẫn đến sự cố và khiến hàng nghìn nhà đầu tư bị tàn phá.
Mối đe dọa trị giá 5 triệu USD
Nếu lỗ hổng này bị phát hiện nhầm người, các nhà đầu tư của Aptos có thể phải đối mặt với việc chuyển tiền trái phép với tổng trị giá 5 triệu USD. Điều này có thể sẽ thêm vào danh sách các vụ hack ngày càng gia tăng gây rắc rối cho thế giới tiền điện tử vào năm 2024.
Lợi thế lập trình MOVE
Aptos, một blockchain tương đối mới, được xây dựng dựa trên sáng kiến Libra của Facebook và sử dụng ngôn ngữ lập trình MOVE. MOVE được biết đến với các tính năng bảo mật nâng cao, cung cấp nhiều tùy chọn mạnh mẽ hơn để tạo hợp đồng thông minh so với Solidity của Ethereum.
Khám phá quan trọng
CertiK, công ty bảo mật blockchain, đã phát hiện ra rằng lỗ hổng này xuất phát từ lỗi trong phần sửa đổi 'công khai (bạn bè)' và 'mục nhập' trong MOVE. Những sửa đổi này kiểm soát quyền truy cập vào các chức năng và ngăn người dùng trái phép truy cập chúng. Tuy nhiên, họ bị phát hiện có thể tiếp xúc với bất kỳ người gọi nào, gây ra rủi ro đáng kể.
Hậu quả tiềm năng
Lỗ hổng này có thể cho phép tin tặc mô phỏng việc chuyển mã thông báo giữa các tài khoản mà không thực sự di chuyển bất kỳ mã thông báo nào. Điều này có thể đã lừa các bộ phận dựa trên Ethereum của cầu Wormhole phát hành các token thực tế, tạo điều kiện cho kẻ tấn công rút tiền.
Phản hồi và sửa lỗi nhanh chóng
CertiK đã báo cáo lỗ hổng này cho nhóm Wormhole, họ ngay lập tức bắt tay vào khắc phục. Chỉ trong ba giờ, lỗ hổng đã được vá và giao thức đã được kiểm tra để đảm bảo an ninh.
Các biện pháp an ninh nâng cao
Sau khi sửa lỗi, nhóm Wormhole đã triển khai các biện pháp bảo vệ bổ sung, chẳng hạn như giảm 'giới hạn tỷ lệ thống đốc' để chỉ cho phép rút 1 triệu USD mỗi ngày. Biện pháp này đảm bảo rằng trong trường hợp xảy ra các vụ hack trong tương lai, tổn thất tiềm ẩn tối đa sẽ được giảm thiểu xuống còn 1 triệu USD, giúp việc truy tìm tin tặc trở nên dễ dàng hơn.
Đảm bảo an toàn cho người dùng
Wormhole xác nhận rằng không có khoản tiền nào của người dùng bị mất và nhắc lại cam kết của họ trong việc giữ an toàn cho tài sản của người dùng. Sự cố này gợi lại một sự kiện tương tự vào tháng 2 năm 2022, khi lỗ hổng giữa hợp đồng thông minh Ethereum và Solana dẫn đến việc đánh cắp 120.000 token Ether (wETH) trị giá khoảng 320 triệu USD vào thời điểm đó. Vào tháng 2 năm 2023, các công ty Web3 Jump Crypto và Oasis.app đã thu hồi được 225 triệu USD từ hacker giao thức Wormhole.
Cam kết bảo mật
Những nỗ lực chủ động của Wormhole và CertiK nêu bật tầm quan trọng của việc cảnh giác trong hệ sinh thái blockchain. Cam kết của họ trong việc xác định và giải quyết các sai sót giúp duy trì niềm tin và tính bảo mật trong thế giới tiền điện tử đang phát triển nhanh chóng.
---
Tuyên bố miễn trừ trách nhiệm: Voice of Crypto nhằm mục đích cung cấp thông tin chính xác và cập nhật nhưng sẽ không chịu trách nhiệm về bất kỳ thông tin thiếu sót hoặc không chính xác nào. Tiền điện tử là tài sản tài chính có tính biến động cao, vì vậy hãy tiến hành nghiên cứu kỹ lưỡng và đưa ra quyết định tài chính của riêng bạn.
