Một nhà phát triển tuyên bố rằng đã tìm ra cách để thực hiện một cuộc tấn công “đắt nhưng đáng” để lấy hết toàn bộ Ethereum (ETH) đang trữ trên mạng lưới MakerDAO (MKR).
Trong bài blog đăng tải vào hôm thứ Hai (10/12), nhà phát triển Micah Zoltu đã mô tả lại cách một hacker bằng cách chi ra 20 triệu USD có thể đổi lấy được toàn bộ lượng ETH đang có trên MakerDAO – trị giá lên đến 340 triệu USD – chỉ trong 15 giây.
Theo Zoltu, vấn đề nằm ở chỗ cách MakerDAO được quản trị. Anh nhận xét: “Hiện hoạt động của mạng lưới có thể bị chi phối bởi một nhóm nhỏ người sở hữu coin.”
Cách hoạt động của đồng tiền điện tử này có thể hiểu nôm na như sau: ai stake được nhiều tiền nhất thì sẽ được nắm quyền quản trị mạng lưới. Hiện tại, hợp đồng stake MakerDAO nhiều nhất đang có giá trị khoảng 80.000 MRK (tương đương khoảng 41 triệu USD). Tuy nhiên, có một lỗ hổng khác để khiến một người sẽ chỉ có thể bỏ ra một nửa số tiền này là có thể chiếm được quyền kiểm soát mạng lưới MakerDAO, tức là cần xấp xỉ 20 triệu USD.
Tiếp đó, kẻ tấn công sẽ tạo một hợp đồng chuyển tất cả tài sản thế chấp trên MakerDAO về ví của mình, sử dụng quyền quản trị mạng lưới để ngay lập tức phê duyệt và thực hiện luôn nó, và như thế đút túi thành công 340 triệu USD tiền Ethereum đang có mặt trên MakerDAO lúc này.
MakerDAO đã dự đoán được khả năng này, và đã thiết lập một cơ chế là khi một hợp đồng stake MRK mới được chọn để quản trị mạng lưới, sẽ có một khoảng thời gian trì hoãn trước khi người sở hữu hợp đồng được phép làm gì đó. Tuy nhiên, khó hiểu thay, thời gian trì hoãn lại được thiết lập là 0s, đồng nghĩa với việc biện pháp đề phòng này đặt ra “có cũng như không”.
Zoltu khẳng định MakerDAO đã biết rõ vấn đề này từ trước khi phiên bản v2 được ra mắt. Anh viết:
“Kể cả vậy, họ quyết định không vá lỗ hổng nào (dù rất dễ). Do đó, tôi tin trách nhiệm của mình là phải lên tiếng cảnh báo và hy vọng không kẻ tấn công nào kịp nhận ra cái bất cập vô cùng hiển nhiên với những ai thực sự hiểu cơ chế quản trị của Maker này.”
Hồi tháng 10, MakerDAO cũng đã tiết lộ một lỗ hổng bảo mật nguy hiểm khác, vốn có thể cho phép tin tặc lấy đi toàn bộ lượng Ethereum thế chấp cho đồng stablecoin DAI chỉ bằng một giao dịch. Nguyên nhân được lý giải là nằm ở sự thiếu quyền kiểm soát đối với hợp đồng thông minh của MakerDAO.
Theo TheNextWeb
Có thể bạn quan tâm: