Đơn vị bảo mật blockchain Halborn đã phát hiện một số lỗi hổng nghiêm trọng trong mã nguồn của Dogecoin, gây ảnh hưởng đến 280 mạng lưới khác và khiến hơn 25 tỷ USD rơi vào thế rủi ro.
Theo báo cáo ngày 13/03, công ty bảo mật Halborn sau quá trình đánh giá đã tìm thấy 3 lỗi nghiêm trọng trong mã nguồn mở của Dogecoin và đã nhanh chóng vá lỗi. Song, khi nhìn ra bức tranh lớn hơn, Halborn phát hiện những lỗ hổng này đã lây lan ra đến 280 mạng lưới tương tự.
🚨 Halborn discovered massive #ZeroDay impacting Dogecoin and 280+ networks including Litecoin and Zcash, putting over $25 Billion of digital assets at risk!
🧵👇…
— Halborn (@HalbornSecurity) March 13, 2023
Bộ lỗ hổng được Halborn gọi tên là “Rab13s”.
Cụ thể, lỗ hổng nghiêm trọng nhất mà các nhà nghiên cứu của Halborn tìm thấy liên quan đến mạng P2P, nơi kẻ tấn công có thể thủ công tạo ra các thông báo đồng thuận, gửi đến các node riêng lẻ và tắt các node ấy đi. Từ đó mạng sẽ có nguy cơ bị “tấn công 51%” do chênh lệch trong số lượng node xác thực.
Lỗ hổng thứ hai được Halborn đề cập liên quan đến RPC, cho phép kẻ tấn công đánh sập nút thông qua các yêu cầu RPC. Tuy nhiên, việc này yêu cầu xác thực thông tin nên phần nào giảm khả năng toàn bộ mạng bị tác động.
Cuối cùng, lỗ hổng thứ ba cho phép kẻ tấn công thực thi mã trong lúc node đang chạy thông qua RPC. Song, tương tự như lỗ hổng 2, khả năng bị exploit của lỗ hổng 3 tương đối thấp vì nó yêu cầu các bước xác thực từ node.
Điều đáng nói là các “biến thể” của Rab13s cũng được phát hiện trong các mạng blockchain tương tự như Litecoin, Zcash hay Horizen. Đơn vị bảo mật cho biết, do sự khác biệt về cơ sở mã nguồn giữa các mạng lưới nên không phải tất cả các lỗ hổng đều có thể bị exploit như nhau.
Nguồn gốc của một số lỗi được tìm thấy trong bộ mã Bitcoin Core từ trước, Halborn tiết lộ.
Halborn đã nỗ lực liên hệ với các mạng bị ảnh hưởng để thông tin về Rab13s. Trong sự phản hồi, Zcash xác nhận mình chưa bị tấn công, Litecoin vào ngày 12/03 đã phát hành một bản cập nhật mới đã vá lỗi, trong khi Horizen cũng tiết lộ sẽ sớm cập nhật bản sửa lỗi.
Ngoài ra, Halborn không tiết lộ thêm chi tiết exploit hay về mặt công nghệ vào thời điểm này do mức độ nghiêm trọng của vấn đề.
Coin68 tổng hợp
Có thể bạn quan tâm:
- Safeheron phát hiện lỗ hổng “lộ private key” khi tương tác với dApp trên StarkNet
- Mạng lưới Solana gặp sự cố, phải khởi động lại để vá lỗi
