Lỗi Bitcoin mới được phát hiện gần đây thậm chí còn nghiêm trọng hơn những gì được các nhà phát triển tiết lộ ban đầu. Lỗ hổng trên ban đầu gây chấn động cộng đồng tiền điện tử vì nó được cho có thể “đánh sập một phần không nhỏ” mạng lưới BTC.
- Cách hacker tạo ra 1 tỉ token EOS giả để đánh lừa sàn giao dịch phân quyền
- Vụ hack 60 triệu USD của Zaif sẽ ảnh hưởng đến thị trường Nhật Bản như thế nào?
Nghiêm trọng hơn gấp nhiều lần
Tuy như vậy nghe đã là đủ tệ với nhiều người, song hoá ra đội ngũ Bitcoin Core vẫn còn giữ bí mật về một khía cạnh thứ hai lớn hơn rất nhiều. Như mới được đề cập đến trong Báo cáo Lỗ hổng bảo mật định kỳ (CVE), kẻ tấn công đáng lý ra đã có thể tận dụng lỗi này để tạo ra thêm Bitcoin – vượt ngưỡng 21 triệu đơn vị theo như mã nguồn – từ đó bơm phồng tổng cung BTC và làm đồng tiền này mất giá.
Theo một số chuyên gia, nếu điều này xảy ra và bị phát hiện thì kịch bản tồi tệ nhất sẽ là chẳng còn ai tin tưởng đồng tiền điện tử số 1 nữa, bởi nó sẽ không còn giữ được cái uy tín vốn có của mình.
Bởi tác động mang tính thảm hoạ mà lỗ hổng trên có thể gây ra, các nhà phát triển đã quyết định giữ bí mật những chi tiết cụ thể, từ đó có thêm thời gian để nghiên cứu tìm hướng xử lí và hối thúc thợ đào cùng người dùng nâng cấp phần mềm Bitcoin của mình.
“Để có thể thúc đẩy mức độ cập nhật, quyết định được thống nhất sẽ là ngay lập tức vá lỗi và chỉ cung cấp thông tin về lỗ hổng DoS ít nghiêm trọng hơn, kêu gọi thợ đào, các công ty cùng những hệ thống bị ảnh hưởng khác thay đổi, đồng thời trì hoãn cung cấp toàn bộ thông tin để các hệ thống tiến hành nâng cấp,” báo cáo viết.
Và đến thời điểm hiện tại, kế hoạch trên có vẻ đã ứng nghiệm.
Hơn một nửa hash rate (năng lực khai thác) của mạng lưới Bitcoin đã nâng cấp lên bản vá mới nhất, đồng nghĩa với việc không ai có thể lợi dụng điều này để tấn công vào Bitcoin, còn các nhà phát triển lúc này “vẫn chưa ghi nhận bất cứ trường hợp nào thử khai thác lỗ hổng ấy”.
Không chỉ một mà có đến hai lỗi
Trước đó, như đã được Coin68 đưa tin, đội ngũ phát triển Bitcoin Core đã tung ra hai bản cập nhật phần mềm phiên bản 0.16.3 và 0.170rc4 để vá một lỗi từ chối dịch vụ (DoS). Tuy nhiên, thông báo mới nhất cho biết hoá ra chúng còn là để giải quyết một lỗ hổng nghiêm trọng hơn khác, cho phép thợ đào ác ý của thể bơm phồng tổng cung BTC một cách nhân tạo thông qua những giao dịch chi tiêu 2 lần.
- Chi tiết: Bitcoin Core lập tức ra cập nhật khắc phục lỗi có thể đánh sập mạng lưới BTC chỉ với $80,000
Các nhà phát triển giải thích:
“Chính vì thế, trong các phiên bản Bitcoin Core 0.15.X, 0.16.0, 0.16.1, và 0.16.2, bất kì nỗ lực nào nhằm chi tiêu hai lần cùng một lượng tiền thưởng bằng một giao dịch đã thêm vào block với số tiền thưởng được sử dụng cũng được tạo ra trong cùng block đó thì lỗi tương tự sẽ xảy ra. Tuy nhiên, nếu phần thưởng đào block bị lặp tiêu lại được tạo ra trong block trước thì hệ thống sẽ không ghi nhận lỗi. Điều này cho phép thợ đào bơm phồng tổng cung Bitcoin bởi họ sẽ được phép sử dụng cùng một lượng tiền hai lần một cách hợp lệ”.
Ban đầu, lỗ hổng trên đã được tiết lộ là một lỗi DoS tuy nguy hiểm nhưng vẫn ở cấp độ nhẹ hơn nhiều, chỉ cho phép thợ đào đánh sập node và làm gián đoạn mạng lưới. Tuy nhiên, muốn làm như vậy thì sẽ yêu cầu thợ đào hi sinh phần thưởng đào block 12.5 BTC (tương đương hơn $80,000 tính theo tỉ giá hiện tại).
Cũng theo thông báo thì lỗi trên đã xuất hiện kể từ phần mềm Bitcoin Core bản 0.14, còn bản 0.15 thì có thêm lỗi bơm phồng tổng cung BTC. Cả hai chỉ mới được phát hiện gần đây.
Ai là người tìm ra nó?
Chắc hẳn người nào phát hiện ra lỗi trên chắc cũng phải “điếng người” khi nhận thấy được mức độ ảnh hưởng mà nó có thể tạo ra.
Theo báo cáo định kỳ CVE, một người dùng ẩn danh đã gửi cảnh báo về lỗi DoS lên các nhà phát triển của Bitcoin Core và Bitcoin ABC. Khoảng 2 giờ sau, nhà phát triển Matt Corallo của Bitcoin Core nhận thấy lỗi ấy cũng có thể được dùng để tạo ra lượng Bitcoin vô hạn.
Trước tính nghiêm trọng của vụ việc, Bitcoin Core quyết định giữ kín tất cả mọi chuyện lúc đầu.
Thay vào đó, họ bắt đầu kêu gọi các cộng đồng thợ đào cùng nhà điều hành node nhanh chóng nâng cấp.
“Bạn không nên chạy bất kì phiên bản Bitcoin Core nào cũ hơn 0.16.3. Nếu bạn biết ai đó đang chạy phần mềm cũ hơn thì bảo họ hãy nâng cấp càng sớm càng tốt,” mod kênh subreddit r/Bitcoin là Theymos thông báo đến 934.000 người theo dõi trong một bài đăng được ghim lên đầu trang.
Tuy vậy, thêm một vấn đề nữa bây giờ lại xuất hiện – khả năng phân tách chain Bitcoin.
Nguyên nhân là bởi người dùng vẫn còn đang sử dụng hai phần mềm Bitcoin chuyên biệt, nên vẫn có rủi ro mạng lưới sẽ bị phân tách làm hai trước khi được kết nối lại với nhau. Những giao dịch tiến hành trên chain sử dụng phiên bản cũ hơn 0.16.3 có thể sẽ vĩnh viễn bị mất.
Tuy nhiên, khi mà tình hình vẫn đang được theo dõi sát sao, Theymos nhận định xác suất diễn ra phân tách chain là rất thấp. Song, anh khuyên người dùng cần phải thực hiện các biện pháp đề phòng, giả dụ như đợi lâu hơn để chắc rằng giao dịch đã được xác nhận.
Liệu ngoài kia đã có đồng “Bitcoin giả” nào chưa?
Dù vậy, hiện tại đang có không ít người tỏ thái độ hoài nghi, cho rằng lỗ hổng trên thực chất đã bị lợi dụng.
“Làm sao để biết liệu lỗ hổng ấy đã bị khai thác chưa và hiện ngoài kia đã có người nắm trong tay cả đống Bitcoin giả?”, một người dùng đặt câu hỏi.
May thay, theo lời nhà phát triển Bitcoin Core Pieter Wuille giải thích, nhờ vào sức mạnh của code, chúng ta đáng lý ra đã có thể phát hiện những điểm bất thường nếu có.
Khi được download lần đầu, các node sẽ kiểm tra chép mọi giao dịch đã được thực hiện theo suốt chiều dài lịch sử Bitcoin. Một node chạy phần mềm 0.16.3 mới chắc chắn sẽ phát hiện vấn đề tức thì.
Bất kể, vẫn còn đó nhiều suy diễn về những điều đã có thể xảy ra nếu không ai phát hiện được lỗi trên kịp lúc.
Theymos viết: “Kể cả khi lỗ hổng bị khai thác tối đa, những thiệt hại theo lý thuyết sẽ có thể được đảo ngược.”
Chu trình đảo ngược cũng sẽ được thực hiện giống như sự cố “value overflow” hồi năm 2010, khi 187 tỉ Bitcoin cũng đã được tạo ra từ hư không, nhưng sau đó bị tiêu huỷ.
Dù vậy, trong khi Bitcoin Core, Litecoin cùng một số đồng coin khác trên bộ mã Bitcoin đã công bố bản vá cho lỗ hổng, nhưng nhiều đơn vị phát triển khác vẫn chưa – và vẫn đứng trước rủi ro bị tác động bởi lỗi bơm phồng tổng cung.
Người dùng đang chạy node có thể tải và cập nhật bản Bitcoin Core 0.16.3 tại đây.
Theo CoinDesk
