Phát hiện lỗ hổng khiến hàng tỷ USD 'bay màu'
'Theo báo cáo từ dWallet Labs gửi tới Cointelegraph, lỗ hổng cho phép tin tặc thu thập khóa riêng tư (private key) của ví điện tử, chiếm quyền kiểm soát và rút cạn tài sản người dùng.
“Nếu phát hiện lỗ hổng này, hacker có thể chiếm toàn quyền kiểm soát, chạy mã độc và tìm thấy private key của nhiều validator. Điều này có nguy cơ khiến hơn một tỷ USD tiền mã hóa như ETH, BNB, SUI, APT cùng nhiều đồng coin khác bị lấy sạch”.
Đến ngày 21/11, InfStones phủ nhận thông tin 1 tỷ USD có trong bài báo cáo với trang tin Cointelegraph. Darko Radunovic, đại diện của InfStones, cho biết lỗ hổng bảo mật này chỉ ảnh hưởng khoảng 0.1% các node trực tiếp mà họ đã khởi chạy.
Theo Radunovic, tháng 7/2023, phía InfStones đã phát hiện lỗ hổng và nhanh chóng đưa ra bản vá lỗi. Ngoài ra, công ty cũng đã đăng bài trên blog, thông báo với người dùng về vấn đề bảo mật trên.
Sau đó, công ty đã tiến hành đánh giá nội bộ và thuê công ty bảo mật có tiếng kiểm tra hệ thống cũng như chính sách công ty của họ. Ngoài ra, công ty cũng triển khai chương trình bug bounty, trao thưởng cho bất kỳ ai phát hiện ra lỗ hổng trên giao thức.
Các cuộc tấn công ngày càng diễn ra nhiều trong ngành tiền mã hoá bất chấp nhiều dự án đã trải qua quá trình kiểm toán kỹ lưỡng. Ngày 10/11, hacker rút hơn 114 triệu USD khỏi ví Poloniex 4 của nền tảng. Khoảng 1h tiếp theo, Justin Sun, ông chủ Poloniex xác nhận ví nóng trên sàn đã bị xâm nhập và dự án đang nỗ lực điều tra vụ việc.
Nguồn gốc vụ hack vẫn chưa được phía Poloniex chính thức công bố. Mặt khác, X-explore cho rằng sàn giao dịch đã bị lộ private key vì các giao dịch của hacker đều được xác định là hợp lệ. Bên cạnh đó, X-explorer suy đoán kẻ tấn công là Lazarus Group, nhóm hacker khét tiếng từ Triều Tiên.
Đọc thêm: Chủ tịch Kraken chỉ trích SEC sau cáo buộc vi phạm luật chứng khoán