Phát hiện lỗ hổng thứ hai từ Ví Ethereum – 150 triệu USD bị đóng băng

Các nhà sản xuất ví điện tử Ethereum – Parity multi-sig vừa công bố một lỗ hổng nghiêm trọng trong thư viện hợp đồng dẫn đến hàng triệu đô la đang bị đóng băng. Đây là lỗ hổng thứ hai được phát hiện kể từ vụ việc đầu tiên xảy ra vào đầu tháng 7 khiến một lượng Ethereum tổng trị giá 30 triệu USD bị đánh cắp.

Parity gặp trục trặc hai lần chỉ trong vòng 5 tháng

Người dùng của nền tảng ví điện tử Ethereum Parity đang lao đao vì thông báo đến từ các nhà phát triển ví Ethereum Parity về việc phát hiện ra một lỗ hổng an ninh mới. Mối đe dọa này được đánh giá rất “nghiêm trọng” khiến tất cả các hợp đồng đa chữ kí (multi-sig) không thể hoạt động cũng như đóng băng hàng trăm triệu đô la của khách hàng.

Lỗ hổng này là một cú đánh trời giáng lên đầu Parity vốn đang phải làm hết sức mình để khôi phục lại danh tiếng sau vụ tấn công hồi tháng 7 khiến ít nhất gần 150.000 ether bị đánh cắp. Nếu như không có động thái ngăn chặn từ các hacker mũ trắng giúp khôi phục trở lại 377.000 ether, vụ đánh cắp có thể trở nên tệ hơn thế.

ethwhitehat width 800 1501187499085

Sau sự kiện tai tiếng này, Parity liền cho phát hành bản sửa lỗi cùng với việc triển khai một hợp đồng thư viện (library contract) mới nhằm giải quyết bê bối trên. Thế nhưng bộ mã mới của thư viện lại mắc phải khiếm khuyết khác, nó cho phép library contract hợp nhất chuyển đổi trở lại thành ví multi-sig thông thường, hậu quả là hacker có thể lạm dụng chức năng initWallet để đánh cắp tiền trong đó.

Hàng trăm triệu mỹ kim trong ví multi-sig bị đóng băng

Trong một bài đăng trên blog giải thích về lỗ hổng mới nhất, nhóm Parity đã phát biểu:

“Có vẻ như trục trặc này vô tình bị kích hoạt vào khoảng 02:33:47 (UTC) ngày 6.11.2017, liền sau đó, một người dùng đã tự hủy hợp đồng (hay còn gọi là hành động tự sát) khiến tất cả bộ mã trong hợp đồng thư viện bị xóa sạch, toàn bộ ví multi-sig không tiếp tục hoạt động được bởi toàn bộ logic đều được mã hóa bên trong thư viện.”

parity ethereum logo

Kết thúc bài đăng là khẳng định đến từ nền tảng ví: “Điều này có nghĩa là hiện tại người dùng không thể rút tiền ra khỏi ví multi-sig”. Đó là 152 triệu USD tương đương với giá trị của Ether, trong đó một số công ty bao gồm Polkadot nói rằng họ không thể tiếp cận đến nguồn quỹ của họ.

Ngoài ra còn có một số công ty khác Aeternity, Edgeless Casino và Swarm City báo cáo đã mất hơn 44.000 Ether. Mặc dù chưa có báo cáo nào được xác nhận về số tiền của người dùng bị đánh cắp bởi lỗ hổng này tuy nhiên đây là thời điểm đáng lo ngại cho một công ty luôn tự hào với khách hàng của mình rằng tiền trong ví của họ “có quyền lực lớn trong cơ sở hạ tầng của mạng Ethereum công cộng”.

Ethereums Parity Users Lose Millions in a Multi Sig Hack V2

Đại diện của Parity nhanh chóng dập tắt tin đồn Ether bị đánh cắp, đó chỉ là suy đoán đến từ cộng đồng người dùng nhưng với câu mở đầu “theo như chúng tôi được biết….” – câu nói không hề mang lại sự tự tin trấn an cộng đồng. Đội ngũ phát triển Parity đang tiếp tục điều tra nguyên nhân của lỗ hổng và sớm phát hành bản vá lỗi khác trong thời gian sớm nhất.

Video đề xuất

Nicholas – Theo news.bitcoin.com