Hai kỹ sư Bitcoin đã phát hiện ra một số lỗ hổng có thể tiêu diệt các blockchains — hai năm sau khi họ nghĩ rằng họ đã vá lỗi.
Các kỹ sư Braydon Fuller và Javed Khan đã vá lỗ hổng, có tên INVDoS, trên blockchain Bitcoin vào năm 2018, nhưng đã xuất bản một bài nghiên cứu trong tuần này chi tiết cách họ tìm thấy nó trong một số lần lặp lại blockchain khác: Btcd và Decred.
Cuộc tấn công hoạt động như thế này: một node blockchain thù địch — một thành viên của mạng blockchain xác thực các giao dịch — làm ngập một node khác bằng cách gửi thư rác cho chúng thông qua các lệnh cho các giao dịch không tồn tại.
“Kết quả là, node sẽ trở nên quá tải và bộ nhớ của nó sẽ phát triển không ngừng. Điều này sẽ làm hỏng quá trình và có khả năng đóng băng quy trình và máy tính cho đến khi quá trình kết thúc.”
Các kỹ sư cho biết trong báo cáo rằng lỗ hổng, được gọi là một cuộc tấn công “từ chối dịch vụ”, bị tin tặc “dễ dàng khai thác” và có thể được sử dụng để làm sập toàn bộ mạng lưới các node Bitcoin. Điều này có thể dẫn đến sự chậm trễ trong việc xử lý các giao dịch, từ đó gây ra “mất tiền hoặc doanh thu”, báo cáo cho biết.
Vào tháng 6 năm 2020, Khan nhận thấy rằng cuộc tấn công cũ áp dụng cho Btcd, một node blockchain Bitcoin thay thế không cho phép người dùng gửi hoặc nhận thanh toán. Một tháng sau, Khan phát hiện ra lỗ hổng trong một mạng blockchain khác, Decred.
Khan, cùng với các kỹ sư blockchain khác, đã đưa ra các bản sửa lỗi cho các lỗ hổng vào cuối tháng 8. May mắn thay, “Chưa có một vụ khai thác nào được biết đến về lỗ hổng này”, Fuller và Khan viết trong báo cáo.
Trên thực tế, việc mạng bị đánh sập như vậy đã không xảy ra trong nhiều năm.
“Đối với mạng Bitcoin, chỉ có hai lỗ hổng dẫn đến các sự kiện thời gian chết như vậy và chưa có một lỗ hổng nào kể từ năm 2013”.
Tuy nhiên, lỗ hổng bảo mật khá lớn – ít nhất là trong tiềm năng của nó. Vào năm 2018, hơn 50% “các node Bitcoin được quảng cáo công khai với lưu lượng truy cập nội bộ và có khả năng là phần lớn các thợ đào và sàn giao dịch” có lỗ hổng bảo mật và có nguy cơ bị tấn công, báo cáo cho biết.
Báo cáo cho biết thêm, các blockchains Litecoin và Namecoin cũng gặp rủi ro. Mặc dù báo cáo cho biết thêm rằng lỗ hổng bảo mật không thể giúp hacker đánh cắp Bitcoin, nhưng tiền từ Lightning Network — một giao thức để xử lý các giao dịch Bitcoin nhanh hơn — có thể đã gặp rủi ro.
Các miners và sàn giao dịch chạy phiên bản phần mềm Bitcoin cũ hơn có thể vẫn gặp rủi ro nhưng hầu hết những người đang chạy các node sẽ có phần mềm cập nhật mới nhất. “Bạn có thể đã được bảo vệ. Nếu không, hãy đảm bảo nâng cấp”, báo cáo cho biết.
- Lỗ hổng tấn công ‘DogByte’ được tìm thấy trong bằng chứng giao thức Diogenes cho Beacon Chain Ethereum 2.0
- Lỗ hổng của Bancor cho thấy mức độ nguy hiểm phổ biến trong DeFi Ethereum
Annie
Theo Decrypt