Các nhà sản xuất ví điện tử Ethereum – Parity multi-sig vừa công bố một lỗ hổng nghiêm trọng trong thư viện hợp đồng dẫn đến hàng triệu đô la đang bị đóng băng. Đây là lỗ hổng thứ hai được phát hiện kể từ vụ việc đầu tiên xảy ra vào đầu tháng 7 khiến một lượng Ethereum tổng trị giá 30 triệu USD bị đánh cắp.
Parity gặp trục trặc hai lần chỉ trong vòng 5 tháng
Người dùng của nền tảng ví điện tử Ethereum Parity đang lao đao vì thông báo đến từ các nhà phát triển ví Ethereum Parity về việc phát hiện ra một lỗ hổng an ninh mới. Mối đe dọa này được đánh giá rất “nghiêm trọng” khiến tất cả các hợp đồng đa chữ kí (multi-sig) không thể hoạt động cũng như đóng băng hàng trăm triệu đô la của khách hàng.
- Vitalik Buterin tiết lộ tầm nhìn trong tương lai của Ethereum
- Ngân hàng lớn nhất của Nga gia nhập Liên minh Ethereum EEA
Lỗ hổng này là một cú đánh trời giáng lên đầu Parity vốn đang phải làm hết sức mình để khôi phục lại danh tiếng sau vụ tấn công hồi tháng 7 khiến ít nhất gần 150.000 ether bị đánh cắp. Nếu như không có động thái ngăn chặn từ các hacker mũ trắng giúp khôi phục trở lại 377.000 ether, vụ đánh cắp có thể trở nên tệ hơn thế.
Sau sự kiện tai tiếng này, Parity liền cho phát hành bản sửa lỗi cùng với việc triển khai một hợp đồng thư viện (library contract) mới nhằm giải quyết bê bối trên. Thế nhưng bộ mã mới của thư viện lại mắc phải khiếm khuyết khác, nó cho phép library contract hợp nhất chuyển đổi trở lại thành ví multi-sig thông thường, hậu quả là hacker có thể lạm dụng chức năng initWallet để đánh cắp tiền trong đó.
Hàng trăm triệu mỹ kim trong ví multi-sig bị đóng băng
Trong một bài đăng trên blog giải thích về lỗ hổng mới nhất, nhóm Parity đã phát biểu:
“Có vẻ như trục trặc này vô tình bị kích hoạt vào khoảng 02:33:47 (UTC) ngày 6.11.2017, liền sau đó, một người dùng đã tự hủy hợp đồng (hay còn gọi là hành động tự sát) khiến tất cả bộ mã trong hợp đồng thư viện bị xóa sạch, toàn bộ ví multi-sig không tiếp tục hoạt động được bởi toàn bộ logic đều được mã hóa bên trong thư viện.”
Kết thúc bài đăng là khẳng định đến từ nền tảng ví: “Điều này có nghĩa là hiện tại người dùng không thể rút tiền ra khỏi ví multi-sig”. Đó là 152 triệu USD tương đương với giá trị của Ether, trong đó một số công ty bao gồm Polkadot nói rằng họ không thể tiếp cận đến nguồn quỹ của họ.
Ngoài ra còn có một số công ty khác Aeternity, Edgeless Casino và Swarm City báo cáo đã mất hơn 44.000 Ether. Mặc dù chưa có báo cáo nào được xác nhận về số tiền của người dùng bị đánh cắp bởi lỗ hổng này tuy nhiên đây là thời điểm đáng lo ngại cho một công ty luôn tự hào với khách hàng của mình rằng tiền trong ví của họ “có quyền lực lớn trong cơ sở hạ tầng của mạng Ethereum công cộng”.
Đại diện của Parity nhanh chóng dập tắt tin đồn Ether bị đánh cắp, đó chỉ là suy đoán đến từ cộng đồng người dùng nhưng với câu mở đầu “theo như chúng tôi được biết….” – câu nói không hề mang lại sự tự tin trấn an cộng đồng. Đội ngũ phát triển Parity đang tiếp tục điều tra nguyên nhân của lỗ hổng và sớm phát hành bản vá lỗi khác trong thời gian sớm nhất.
- Hai công ty ví cứng hàng đầu thế giới tiết lộ kế hoạch SegWit2x
- Google: Từ khoá “Buy Bitcoin” được tìm kiếm nhiều hơn “Buy Gold”
- Những lý do khiến SegWit2x “chết từ trong trứng nước”
- Bất đồng quan điểm về ICO, Trung Quốc và Úc vẫn kí hiệp ước Fintech
Video đề xuất
Nicholas – Theo news.bitcoin.com