Bản quyền bài viết thuộc về Coin68 – Trang tin tức tiền điện tử mỗi ngày
Các nhà phát triển của ví tiền điện tử Ethereum Parity vừa ra thông báo về một lỗ hổng nghiêm trọng mà đã dẫn đến việc hàng trăm triệu USD tiền quỹ của người dùng bị đóng băng. Đây là lỗi thứ hai bị phát hiện sau vụ tấn công vào nền tảng ví tiền này hồi tháng 7 mà rốt cuộc khiến lượng Ether trị giá đến hơn 30 triệu đô la Mỹ bị mất cắp.
Parity gặp trục trặc nghiêm trọng hai lần chỉ trong vòng 4 tháng
Người dùng của nền tảng ví tiền Ethereum phổ biến Parity gần như là “chết điếng” sau khi đội ngũ phát triển tiết lộ họ mới phải hiện thêm một lỗ hổng an ninh mới. Mối đe doạ này, được đánh giá là “nghiêm trọng”, đã khiến tất cả các ví tiền nhiều chữ ký (multi-sig wallet) không thể truy cập được và khoá trong đó hàng trăm triệu đô tiền đầu tư của khách hàng. Diễn biến mới này xuất hiện ở thời điểm không thể tệ hơn được nữa đối với Parity, vốn vẫn còn phải vật lộn để khôi phục lại danh tiếng sau vụ hack diễn ta hồi tháng 7 mà kết quả là có ít nhất 150.000 đồng Ether bị mất cắp. Hậu quả thậm chí có thể đã còn nặng nề hơn nếu như không có sự giúp đỡ của một nhóm các tin tặc mũ trắng, những người đã giúp khôi phục lại được xấp xỉ 377.000 ETH.
- Chi tiết: Hacker mũ trắng bắt tay vào bảo vệ các ví Ethereum Parity
Logo của nền tảng ví tiền điện tử Parity
Theo sau sự kiện “mất mặt” trên, Parity đã phát hành bản vá cho lỗ hổng, triển khai một hợp đồng thư viện (library contract) để giải quyết triệt để mọi chuyện. Thế nhưng rốt cuộc bộ mã mới của thư việc lại chứa trong mình một khiếm khuyết nữa, nói đơn giản là cho phép biến library contract quay trở lại thành ví multi-sig thông thường. Và kết quả là hacker có thể dùng chức năng initWallet để chiếm quyền sở hữu ví tiền.
Tất cả nguồn quỹ trong ví multi-sig bị đóng băng
Trong bài đăng blog mới nhất nhằm giải thích về lỗi trên, đội ngũ Parity cho biết:
“Có vẻ như trục trặc này vô tình xuất hiện vào khoảng 02:33:47 PM (giờ UTC) ngày 06/11/2017 và ngay sau đó một người dùng nào đó đã xoá toàn bộ mã thư viện, khiến toàn bộ ví multi-sig không thể sử dụng được vì logic của nó toàn bộ nằm trong thư viện hết.”
Bài đăng kết thúc bằng lời khẳng định: “Điều này đồng nghĩa với việc không thể rút tiền ra khỏi ví multi-sig được nữa”. Theo sau tin tức trên, được biết là có đến 152 triệu USD tiền Ether là đã bị đóng băng hoàn toàn, và một số công ty như Polkadot thông báo là không thể tiếp cận đến nguồn tiền của mình.
Không may là ví multi-sig của chúng tôi cũng nằm trong nhóm những cái đóng băng. ParityTech đang tập trung xử lí vấn đề và sẽ cung cấp cập nhật khi có thể.
Parity liệu giờ có còn đủ an toàn để tiếp tục sử dụng, kể cả khi giả sử rằng các nhà phát triển khắc phục thành công lỗ hổng an ninh mới nhất này?
Một lượng lớn công ty có tên tuổi trước đây đã bị mất tiền của mình trong đợt hack Parity diễn ra vào ngày 19/07. Những cái tên bị thiệt hại nặng nề nhất là Aeternity, Edgeless Casino và Swarm City (riêng Swarm City mất đến 44.000 ETH). Tuy đến hiện tại vẫn chưa xuất hiện báo cáo nào về việc thất thoát tiền trong hai ngày qua, thế nhưng đây là một khoảng thời gian “như ngồi trên đống lửa” của Parity – công ty mà tự nhận client ví điện tử của mình “cấp nguồn cho phần lớn cơ sở hạ tầng của mạng lưới Ethereum”.
Đội ngũ Parity ở thời điểm hiện tại
Đại diện của Parity sau đó nhanh chóng dập tắt những tin đồn trên mạng xã hội rằng đã có tiền bị mất cắp, cho biết các bàn tán về khả năng tin tặc lại tấn công để trộm Ether hiện thời chỉ toàn là “suy đoán”.
Cập nhật: Theo như chúng tôi được biết thì toàn bộ tiền đều đã bị đóng băng và không thể chuyển đi đâu hết. Con số tổng ETH bị mất cắp lan truyền trên mạng hoàn toàn chỉ là phỏng đoán.
Tuy nhiên, Parity lại liên tục sử dụng cụm từ “Theo như chúng tôi được biết thì …” – câu nói mà chắc hẳn sẽ không tạo nên chút niềm tin nào từ những người dùng bị ảnh hưởng bởi việc đóng băng ví multi-sig. Đội ngũ phát triển Parity hiện đang tiếp tục điều tra mọi chuyện và hứa sẽ công bố bản cập nhật khắc phục sớm nhất có thể.
Theo news.bitcoin.com
