WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
280 triệu USD (6.3 nghìn tỉ VND) trong Ethereum vô tình bị khóa vĩnh viễn
Một khoản tiền trị giá gần 300 triệu USD của Ether – một trong những đơn vị tiền ảo phổ biến và có giá trị gia tăng nhất - từ hàng chục ví điện tử Ethereum đã bị khóa vĩnh viễn.
Parity Technologies, công ty đứng sau ví điện tử Ethereum Parity Wallet nổi tiếng, công bố ngày 6/11 ví điện tử “đa chữ ký” được tạo ra sau ngày 20/7 tồn tại một lỗ hổng nghiêm trọng khiến người dùng không thể chuyển tiền ra khỏi ví.
Theo Parity, lỗ hổng này được kích hoạt bởi một người sử dụng GitHub thông thường, có tên "devops199". Người này đã vô tình xóa mã thư viện quan trọng khỏi mã nguồn, biến tất cả các hợp đồng đa chữ ký thành địa chỉ ví điện tử thông thường và tạo người sử dụng thành người sở hữu nó.
Devops199 sau đó đã “vô hiệu” hợp đồng ví điện tử này, khiến tất cả các ví điện tử đa chữ ký Parity gắn liền với hợp đồng đó ngay lập tức vô giá trị, và do đó tiền của họ bị khóa mà không có cách nào để truy cập được.
Ví điện tử đa chữ ký Parity cũng từng gặp một lỗ hổng hồi tháng 7, cho phép một hacker vô danh đánh cắp gần 32 triệu USD (khoảng 153.000 đơn vị của Ether) trước khi cộng đồng Ethereum kịp bảo vệ phần còn lại của Ether.
Theo Parity, một phiên bản mới của hợp đồng thư viện Parity Wallet được triển khai vào ngày 20/7 chứa một bản sửa lỗi xử lý lỗ hổng đa chứ ký đã bị khai thác trước đó, nhưng mã "vẫn tồn tại một vấn đề khác", cho phép chuyển hợp đồng thư viện Parity Wallet thành một ví điện tử thông thường.
Lỗ hổng ảnh hưởng tới ví điện tử đa chữ ký của Parity đã bị kích hoạt sau ngày 20/7 - có nghĩa là ICOs (các khoản tiền ban đầu) từ đó trở đi có thể bị ảnh hưởng.
Cho đến nay, chưa rõ chính xác có bao nhiêu tiền ảo đã biến mất do sai lầm này, nhưng theo một số bài blog về tiền ảo cho biết ví điện tử Parity chiếm đến khoảng 20% của toàn bộ mạng Ethereum.
Các nhà nghiên cứu ước tính khoảng 280 triệu USD hiện tại đã không thể truy cập được, trong đó gồm 90 triệu USD (2 nghìn tỉ VND) của nhà sáng lập công ty, ông Gavin Woods.
Parity đã đóng băng tất cả các ví điện tử đa chữ ký bị ảnh hưởng (có nghĩa là hàng triệu đô la tài sản dựa trên Ethereum) khi nhóm của họ đang vật lộn để tăng cường an ninh. Nhóm nghiên cứu cũng hứa sẽ phát hành bản cập nhật trong thời gian ngắn.
Parity Technologies, công ty đứng sau ví điện tử Ethereum Parity Wallet nổi tiếng, công bố ngày 6/11 ví điện tử “đa chữ ký” được tạo ra sau ngày 20/7 tồn tại một lỗ hổng nghiêm trọng khiến người dùng không thể chuyển tiền ra khỏi ví.
Theo Parity, lỗ hổng này được kích hoạt bởi một người sử dụng GitHub thông thường, có tên "devops199". Người này đã vô tình xóa mã thư viện quan trọng khỏi mã nguồn, biến tất cả các hợp đồng đa chữ ký thành địa chỉ ví điện tử thông thường và tạo người sử dụng thành người sở hữu nó.
Devops199 sau đó đã “vô hiệu” hợp đồng ví điện tử này, khiến tất cả các ví điện tử đa chữ ký Parity gắn liền với hợp đồng đó ngay lập tức vô giá trị, và do đó tiền của họ bị khóa mà không có cách nào để truy cập được.
Ví điện tử đa chữ ký Parity cũng từng gặp một lỗ hổng hồi tháng 7, cho phép một hacker vô danh đánh cắp gần 32 triệu USD (khoảng 153.000 đơn vị của Ether) trước khi cộng đồng Ethereum kịp bảo vệ phần còn lại của Ether.
Theo Parity, một phiên bản mới của hợp đồng thư viện Parity Wallet được triển khai vào ngày 20/7 chứa một bản sửa lỗi xử lý lỗ hổng đa chứ ký đã bị khai thác trước đó, nhưng mã "vẫn tồn tại một vấn đề khác", cho phép chuyển hợp đồng thư viện Parity Wallet thành một ví điện tử thông thường.
Lỗ hổng ảnh hưởng tới ví điện tử đa chữ ký của Parity đã bị kích hoạt sau ngày 20/7 - có nghĩa là ICOs (các khoản tiền ban đầu) từ đó trở đi có thể bị ảnh hưởng.
Cho đến nay, chưa rõ chính xác có bao nhiêu tiền ảo đã biến mất do sai lầm này, nhưng theo một số bài blog về tiền ảo cho biết ví điện tử Parity chiếm đến khoảng 20% của toàn bộ mạng Ethereum.
Các nhà nghiên cứu ước tính khoảng 280 triệu USD hiện tại đã không thể truy cập được, trong đó gồm 90 triệu USD (2 nghìn tỉ VND) của nhà sáng lập công ty, ông Gavin Woods.
Parity đã đóng băng tất cả các ví điện tử đa chữ ký bị ảnh hưởng (có nghĩa là hàng triệu đô la tài sản dựa trên Ethereum) khi nhóm của họ đang vật lộn để tăng cường an ninh. Nhóm nghiên cứu cũng hứa sẽ phát hành bản cập nhật trong thời gian ngắn.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: