Ngay trong ngày 11/07 vừa qua, một loạt các dự án cầu nối cross-chain đã bị tấn công. Bên cạnh việc ChainSwap gặp sự cố, khiến nhiều dự án liên luỵ, một cái tên khác cũng góp vui trong “đại tiệc cross-chain” lần này là AnySwap V3. Vậy, chuyện gì đã xảy ra và cách giải quyết hiện tại của đội ngũ là như thế nào? Hãy cùng tìm hiểu trong bài viết dưới đây nhé!!!
Sơ nét về AnySwap
AnySwap là giải pháp cho swap token xuyên chuỗi (tức giữa nhiều định dạng token khác nhau). Dự án này nổi lên khi liên tục được ủng hộ bởi bố già Andre Cronje. Trước đó, Anyswap đã triển khai 2 phiên bản là V1 và V2, từ đó gặt hái được nhiều sự quan tâm của cộng đồng. Thậm chí, có lúc token ANY của AnySwap còn có mức vốn hoá lưu hành (circulating cap) dao động vào khoảng 200 triệu USD.
Sự cố xảy ra là gì?
Theo thông tin từ phía dự án cung cấp, sự cố lần này diễn ra ở phiên bản cầu nối V3. Dự án khẳng định, cầu nối V1 và V2 không gặp phải vấn đề gì.
Rạng sáng ngày 11/07, hacker đã tấn công vào bể thanh khoản của Anyswap V3, từ đó đánh cắp 2,3 triệu USDC cùng 5,5 triệu MIM.
Phương thức tấn công của hacker:
Trong tài khoản MPC của V3 router trên mạng lưới BSC, xuất hiện 2 giao dịch có cùng giá trị “R value signature”. Và từ giá trị này, hacker có thể truy ngược ra được private key của tài khoản MPC nới trên. Do đó, mạng lưới V1, V2 hoàn toàn yên ổn vì không xuất hiện lỗi trùng giá trị R value này.
Chú thích:
. MPC là một phương thức mã hoá sử dụng cho các địa chỉ ví trên không gian blockchain
. R value signature: Trong các id giao dịch blockchain, thường sẽ có một giá trị để xác định là R. Khi bộ máy random gặp vấn đề, giá trị R này sẽ bị lặp lại, từ đó tạo ra những lỗ hổng có thể bị hacker khai thác như trên.
Cách khắc phục:
- Đội ngũ đã chỉnh sửa lại code để không còn tạo ra 2 giá trị R value trùng lắp
- Router V3 của Anyswap sẽ được lên sóng trở lại sau 48 tiếng
- Đội ngũ Anyswap sẽ bồi thường thiệt hại cho các Liquidity Provider. Đồng thời cho biết các nhà cung cấp thanh khoản này có thể rút thanh khoản bất cứ lúc nào khi pool được bơm đầy thanh khoản trở lại.
- Triển khai các chương trình bug bounty để khuyến khích cộng đồng đóng góp ý kiến, nhằm khắc phục lỗ hổng trong sản phẩm.
Ngày thảm hoạ cho các dự án cross-chain
Cũng vào cùng thời gian này, ChainSwap (một giải pháp cross-chain khác) cũng gặp phải sự cố liên quan đến bể thanh khoản (liquidity pool), đồng thời khiến rất nhiều dự án đối tác gặp phải rất nhiều vấn đề. Để tìm hiểu thêm về sự cố này, bạn đọc có thể theo dõi tại đây:
>>Xem thêm: “Gọi tên” các dự án bị ảnh hưởng bởi vụ hack trong đêm qua của ChainSwap
Cross-chain từ lâu đã trở thành mảng thị trường nóng của defi, đơn giản vì quá nhiều hệ sinh thái blockchain đang bùng nổ song song và nhu cầu kết nối giữa các chuỗi blockchain này là vô cùng thiết yếu.
>> Xem thêm: Coin68 Blog: Những vấn đề nào đang chờ đợi các hệ sinh thái DeFi?
Tuy nhiên, điểm nổ gần đây của các dự án cross-chain vô tình cho thấy sự phức tạp, cũng như nguy hiểm của các dự án dạng này nếu như công được chăm chút kỹ lưỡng cho sản phẩm.
Vì là kết nối đa chuỗi, và về mặt cấu trúc là liên kết rất nhiều dự án, hệ sinh thái, bất cứ sự cố nhỏ ở đâu đó trong sản phẩm cũng có thể được khuếch tán ra rất nhanh. Chính vì lí do này, thị trường cross-chain vẫn đang chờ đợi rất nhiều giải pháp chất lượng, cũng như khẳng định được uy tín và vị thế của mình, để thực sự chiếm lĩnh mảng thị trường nóng hổi này.
Coin68 tổng hợp
Có thể bạn quan tâm: