Trang chủ Tạp chí Tin tức Altcoin IOTA nhưng không có ý định sửa lỗ hổng dù dễ bị...

IOTA nhưng không có ý định sửa lỗ hổng dù dễ bị “tấn công lặp lại”

Một “ma mới” Startup Blockchain IOTA vấp thêm một trục trặc kỹ thuật khác.

Nhà nghiên cứu Joseph Rebstock đã mô tả chi tiết về lỗ hổng trong mạng lưới khiến người dùng dễ trở thành nạn nhân của các vụ Replay attack (tấn công phát lại) – một cách khai thác phổ biến mà dữ liệu hợp lệ được nhắc lại sai để lấy cắp Crypto của người dùng.

Vấn đề bắt nguồn từ một chức năng liên quan đến sự lựa chọn của IOTA để sử dụng chữ ký một lần khi xử lý các giao dịch trên Tangle – công nghệ Blockchain “thế hệ tiếp theo” tự công bố của công ty hứa hẹn nhiều giao dịch và khả năng mở rộng quy mô hiệu quả hơn.

Nghiên cứu giải thích: “Việc cài đặt lại thường được yêu cầu để hiểu giao dịch và Bundle chỉ có thể được kí an toàn một lần duy nhất. Do đó, đơn giản là người dùng được phép cài lại bất cứ Bundle nào họ muốn mà không cần bằng chứng sở hữu. Đây không phải là vấn đề vì mỗi Bundle đều có một Hash (hàm băm) riêng biệt.”

Nhưng thực tế, chức năng này không hoạt động như đã định.

“Hành vi dự kiến là mỗi lần chỉ một Bundle Hash được cho phép bên trong lịch sử giao dịch nhất quán (subtangle),” theo Rebstock viết. Nhưng thay vào đó, “coordinator (điều phối viên) sẽ chấp nhận Bundle Hash nhiều lần.”

“Điều này có nghĩa là trong khi bạn ký một giao dịch để gửi 500 Miota, nó có thể được đính kèm với mạng lưới 10 lần để rút 5.000 Miota từ tài khoản.” Ông khẳng định.

Nhà nghiên cứu đã cung cấp một số ví dụ để chứng minh tính hợp lệ của Attack vector (hướng tấn công) Thêm vào đó, Attack vector đã mô tả bên lề báo cáo về việc sử dụng lại địa chỉ ví – một sai sót mà công ty đã cảnh báo nhiều lần.

Tuy nhiên, điều đáng chú ý là mặc dù lỗ hổng này tương tự như vấn đề chữ kí trước đó đã bị phanh phui bởi Neha Narula từ MIT Data Currency Initiative (DCI), nhưng sai sót này chỉ mới được phát hiện.

“May thay, từ khi IOTA hạn chế việc sử dụng lại địa chỉ, hiện tượng dư quỹ trong các địa chỉ cũng ít dần,” nhà nghiên cứu chỉ rõ. “Replay attack chỉ được áp dụng khi sử dụng lại địa chỉ.”
“Tuy nhiên, việc này không nên bị nhầm lẫn với vấn đề sử dụng lại chữ ký, mối quan ngại chỉ mang tính lý thuyết đối với việc sử dụng lại một lần,” Rebstock tiếp tục. “Replay attack chỉ xảy ra với việc sử dụng lại một lần và rất dễ thực hiện.”

Tác giả nhấn mạnh, tin tốt là trục trặc này rất dễ loại bỏ.
Nhà phát triển của IOTA, Lewis Freiberg đã xác minh vấn đề là có thật trong một phát ngôn tại Reddit. Tuy nhiên, nhà phát triển đã giảm bớt tính nghiêm trọng của lỗ hổng, bổ sung thêm rằng công ty không có ý định tinh chỉnh kiến trúc cốt lõi của mạng lưới để “thích ứng với vấn đề hiếm khi xảy ra này”.

“Nếu người dùng trong kịch bản ví dụ trên [không sử dụng lại địa chỉ ví], thì tất cả IOTA từ địa chỉ đó sẽ được gửi đến địa chỉ khác,” Freiberg cho biết “Như vậy thì vụ tấn công sẽ không bảo giờ xảy ra.”iota de bi hackTrong bất cứ trường hợp nào, quyết định không sửa chữa lỗi sai là một điều kì quặc – đặc biệt khi cả Rebstock và Freiberg đều đồng ý rằng lỗi này “khá dễ sửa”.

(Làm rõ: Sau khi bài báo này được xuất bản, Freiberg đã chỉ ra rằng phản hồi của ông trên Reddit không nói rằng lỗ hổng được Rebstock nêu ra thực sự “khá dễ sửa” hay không. Nó chỉ làm rõ rằng IOTA không có kế hoạch sửa ngay lập tức.)

Một điểm quan trọng mà nhà nghiên cứu nhấn mạnh là việc thiếu giải pháp cho “một vấn đề rõ ràng như vậy sẽ mang lại cho tất cả những ai liên quan đến IOTA một thời gian tạm dừng và hy vọng một chút khiêm tốn hơn.”

Rebstock cũng nhận xét rằng thiết lập hiện tại của IOTA đòi hỏi mọi sự chấp thuận giao dịch phải đi qua Coordinator của mạng lưới – một biện pháp mà nhiều người cho là cuối cùng sẽ biến Tangle trở thành một hệ thống tập chung.

Mặc dù nhóm IOTA đã thừa nhận trường hợp này, nhưng họ cũng đã hứa sẽ loại bỏ Coordinator trong tương lai. Tuy nhiên, công ty vẫn chưa đưa ra kế hoạch loại bỏ Coordinator.

Trong khi đó, Startup Crypto vẫn tập trung vào việc nâng cao nhận thức về công nghệ của họ và mở rộng mạng lưới cộng tác viên.

Gần đây, công ty đã công bố Hệ thống sinh thái nhằm cung cấp cho các nhà phát triển, người mới khởi nghiệp và những người quan tâm một bộ công cụ mạnh mẽ để xây dựng cho IOTA. Ngoài ra, IOTA đã ký một bản ghi nhớ với Đài Bắc để làm cho thành phố thông minh hơn và có được một khoản đầu tư đáng kể từ công ty vốn đầu tư mạo hiểm Robert Bosch.

Những phát triển này xảy ra sau sự ra mắt của IOTA Data Marketplace trong mối quan hệ hợp tác với nhiều thương hiệu nổi tiếng như Accenture, Fujitsu và Bosch. Thông báo đã gây ra nhiều tranh cãi và sau đó làm sáng tỏ rằng Microsoft – được cho là có mối quan hệ “hợp tác” với IOTA – không phải là đối tác chính thức, mà chỉ đơn thuần là nhà cung cấp công nghệ.

IOTA sau đó lập luận rằng hiểu lầm xảy ra do một tuyên bố không chính xác (do Microsoft cung cấp) trong thông báo của Data Marketplace.

Lỗ hổng này đánh dấu một lần nữa IOTA phải hứng chịu chỉ trích về thiết kế kiến ​​trúc mạng của họ. Công ty trước đó đã bị điều tra về việc “vận hành” chức năng Hash riêng – một tội phạm trọng yếu trong thế giới Crypto.

Mặc dù một số Crypto khác như ZCash đã trải qua thực tiễn tương tự, nhưng điều khiến chức năng Hash của IOTA gặp vấn đề là nó không trải qua quá trình kiểm tra nghiêm ngặt. IOTA cuối cùng đã giải quyết những vấn đề này trong một phản hồi chia làm bốn phân đoạn được xuất bản trên blog của họ – mặc dù nhiều nhân vật tiếng tăm trong không gian Crypto và Blockchain cuối cùng không đồng ý với đường dây phòng thủ của IOTA.

Chúng tôi đã liên hệ với các nhà đồng sáng lập của IOTA là Dominik Schiener và David Sønstebø để có bình luận về lỗ hổng này. Schiener đã trả lời TNW như sau:

“Không có lỗ hổng. Hãy viết như vậy. “

Cập nhật: Không lâu sau khi bài báo này được đưa lên, Sønstebø đã liên lạc với TNW để giải thích về những lời của Schiener.
“Thật vậy, không chỉ liên quan đến bài viết của Lewis [Freiberg], hãy đọc và hiểu,” ông nhận xét. “Nếu không, bài viết này sẽ hoàn toàn không chính xác, đây không phải là một lỗ hổng.”

MỚI CẬP NHẬT

CoinEx kỷ niệm 7 năm thành lập với tổng giải thưởng lên tới 1...

CoinEx hân hạnh công bố chiến dịch “CoinEx Together” nhân dịp kỷ niệm 7 năm thành lập. Sự kiện quan trọng này đánh dấu...

MicroStrategy có thể tạm dừng mua Bitcoin vào tháng 1 năm 2025

Có nhiều đồn đoán rằng MicroStrategy (MSTR) có thể tạm ngừng mua Bitcoin (BTC) vào tháng 1, do tin đồn liên quan đến giai...
El Salvador tự nguyện hóa thanh toán Bitcoin trong thỏa thuận vay 1,4 tỷ USD với IMF

El Salvador không “ép” thanh toán bằng Bitcoin để vay 1,4 tỷ USD từ...

El Salvador dự kiến sẽ chuyển sang hình thức chấp nhận Bitcoin như một lựa chọn tự nguyện đối với các doanh nghiệp, đồng...

HashKey Group của Hồng Kông ra mắt mainnet layer 2 HashKey Chain

HashKey Group đã chính thức ra mắt mainnet HashKey Chain chỉ sau tám tháng kể từ khi công bố kế hoạch phát triển nền...

Jerome Powell khẳng định Fed sẽ không dự trữ Bitcoin

Chủ tịch Cục Dự trữ Liên bang Hoa Kỳ Jerome Powell bác bỏ khả năng Fed nắm giữ Bitcoin, nhấn mạnh các hạn chế...

Solana vượt qua các đối thủ với kỷ lục 66,9 triệu giao dịch hàng...

Solana (SOL) tiếp tục củng cố vị thế là một trong những blockchain hàng đầu, đạt được một cột mốc quan trọng với hoạt...
bonk-giam-gia

BONK mất 2,13 tỷ USD vốn hóa thị trường giữa cơn sóng gió của...

Vốn hóa thị trường của Bonk (BONK), một meme coin trên nền tảng Solana, đã giảm 2,13 tỷ USD trong vòng 30 ngày qua....

Hồng Kông cấp phép cho 4 nền tảng giao dịch crypto mới

Vào ngày 18 tháng 12, Ủy ban Chứng khoán và Tương lai Hồng Kông (SFC) đã cấp phép cho bốn nền tảng giao dịch...

Ethena Labs giới thiệu sUSDe làm tài sản thế chấp cho World Liberty Financial...

Ethena Labs đã đưa ra đề xuất tích hợp đồng stablecoin tổng hợp sUSDe của mình vào World Liberty Financial (WLFI) vào ngày 18...

Giá Coin hôm nay 19/12: Bitcoin lao dốc về dưới $100.000, altcoin và Phố...

Bitcoin lao dốc về dưới $100.000 trong đợt điều chỉnh mạnh trên thị trường chứng khoán Hoa Kỳ. Chứng khoán Mỹ Hợp đồng futures trên thị...

Thẩm phán Hoa Kỳ tuyên bố Coinbase được phép delist Wrapped Bitcoin (wBTC)

Một tòa án California Hoa Kỳ đã phán quyết rằng Coinbase được phép delist Wrapped Bitcoin (wBTC) vào ngày đầu tiên của phiên xử...
ngay-19-12-phan-tich

Phân tích kỹ thuật ngày 19 tháng 12: BTC, ETH, XRP, SOL, BNB, DOGE,...

Bitcoin (BTC) đã giảm sau khi thiết lập mức cao nhất mọi thời đại mới trên $108.000 vào ngày 17/12, cho thấy phe gấu...

Layer-2 ‘Ink’ của Kraken chính thức ra mắt trên Mainnet sớm hơn dự kiến

Ink, nền tảng blockchain Layer 2 do Kraken phát triển dựa trên Optimism, đã chính thức hoạt động trên mainnet sớm hơn dự kiến,...
FXGuys ($FXG) chuẩn bị cho một đợt tăng giá mạnh

[QC] Nhà phân tích dự đoán giá Dogecoin sẽ phá vỡ $1 vào cuối...

Dogecoin (DOGE) đang chiếm hết sự chú ý với khả năng đạt mốc 1 đô la như mong đợi. Nhà phân tích tiền điện...

Solana có thể chạm mốc 1.000 USD! Nhưng WEPE với 27 triệu USD presale...

Mặc dù Solana đã tăng trưởng đáng kể từ đầu tháng 11, đà tăng này dường như đã chững lại, hoặc ít nhất là...

Giá Bitcoin giảm xuống gần $100K sau khi Fed cắt giảm lãi suất và...

Bitcoin và thị trường tiền mã hóa rộng lớn đã chứng kiến sự sụt giảm sau khi Cục Dự trữ Liên bang Mỹ (Fed)...