Trang chủ Tạp chí Tin tức Ethereum (ETH) Lỗ hổng của Bancor cho thấy mức độ nguy hiểm phổ biến...

Lỗ hổng của Bancor cho thấy mức độ nguy hiểm phổ biến trong DeFi Ethereum

Nhiều hợp đồng thông minh DeFi có thể rút số tiền không giới hạn từ ví người dùng, điều đó có khả năng gây ra thảm họa.

Lỗi của Bancor cho thấy mức độ nguy hiểm phổ biến trong Ethereum DeFi

Một lỗ hổng được phát hiện trên Bancor vào thứ Năm cho phép hacker rút tiền của bất kỳ ai tương tác với các hợp đồng thông minh của nó. Lỗ hổng dựa trên khái niệm ủy quyền rút tiền, được giới thiệu trong tiêu chuẩn ERC-20. Điều này cho phép các ứng dụng phi tập trung (Dapp) dựa trên Ethereum khác nhau tự động rút tiền từ ví của người dùng.

Như Oded Leiba, một kỹ sư nghiên cứu tại ZenGo đã viết, chức năng rút tiền trên hợp đồng thông minh Bancor đã bị thiết lập sai mang lại cơ hội bất kỳ ai cũng có thể chỉ định nó.

Bancor đã rút tiền của người dùng trước khi các bên độc hại có thể can thiệp.

Các hợp đồng Bancor đã yêu cầu ủy quyền không giới hạn để rút tiền trong lần tương tác đầu tiên với giao thức. Ngay cả khi người dùng chỉ có kế hoạch kiểm tra giao thức với số tiền hạn chế, hệ thống có thể rút toàn bộ số dư của token cụ thể đó.

Hóa ra, nhiều DApp khác trên Ethereum cũng làm như vậy.

Phê duyệt không giới hạn trong thời gian không giới hạn

Như Leiba nói, nhiều ứng dụng Defi nổi tiếng yêu cầu phê duyệt vô hạn. Trong số những thử nghiệm được thực hiện bởi nhóm ZenGo, Compound, Uniswap, bZX, Aave, Kyber và dYdX đều có các phê duyệt vô hạn hoặc cực kỳ lớn.

Kain Warwick, người sáng lập Synthetix nói rằng, sự chấp thuận vô hạn cho phép khả năng sử dụng tốt hơn và Gas thấp hơn, nhưng đổi lại rủi ro cao hơn. Cho đến nay, hầu hết các nền tảng DeFi dường như thích mức độ mà một cái gì đó có thể hoặc phù hợp để được sử dụng. Tuy nhiên, sau vụ tai nạn, Bancor đã quyết định sửa đổi hợp đồng của mình để chỉ phê duyệt số tiền cần thiết với mỗi giao dịch.

Warwick tin rằng, “đây là một vấn đề nghiêm trọng vì mỗi hợp đồng mới mà bạn đưa ra một sự chấp thuận vô hạn, sẽ khiến bạn gặp nhiều rủi ro hơn nếu hợp đồng bị xâm phạm”.

Ngay cả khi nền tảng không còn được sử dụng, các phê duyệt vẫn có hiệu lực. Leiba lưu ý rằng hơn 160 địa chỉ vẫn dễ bị tổn thương đối với hợp đồng thông minh Bancor bị lỗi. Tuy nhiên, nếu họ quay trở lại hoạt động, hacker sẽ có thể đánh cắp tiền bất cứ lúc nào.

Đổ lỗi cho các tiêu chuẩn

Có những hạn chế cơ bản đối với tiêu chuẩn token ERC-20 thường được sử dụng ngày nay. Các phê duyệt không thể có giới hạn thời gian, điều này có thể giúp giảm thiểu một số tác động dài hạn của các khoản phụ cấp vô hạn.

Các tiêu chuẩn cạnh tranh khác nhau như ERC-223 đã tìm cách giảm thiểu vấn đề bằng cách loại bỏ hoàn toàn sự cần thiết phải phê duyệt. Trong hầu hết các ứng dụng hiện có, những tương tác với hợp đồng thông minh có thể được ký tắt thủ công mỗi lần mà không ảnh hưởng đáng kể đến trải nghiệm người dùng.

Tuy nhiên, các hợp đồng thông minh không thể đáp ứng với các chỉ định chuyển đơn phương đơn giản do người dùng thực hiện. Thay vào đó, họ phải tự mình thu thập các token bằng cách sử dụng chức năng transferFrom, trong đó yêu cầu thiết lập trợ cấp thông qua phương thức phê duyệt của Wap.

Warwick giải thích rằng ban đầu nhóm sử dụng tiêu chuẩn ERC-223 tiên tiến hơn. Các vấn đề về sử dụng Gas quá mức và lỗi với các hợp đồng không hỗ trợ tiêu chuẩn mới đã buộc cộng đồng phải từ bỏ nó.

“Các tiêu chuẩn rất khó và khi mọi thứ được thiết kế cho ERC20 đơn phương chuyển sang ERC223 sẽ tạo ra rất nhiều xung đột”.

Làm thế nào để khắc phục điều này?

Một số ví cho phép người dùng sửa đổi số tiền trợ cấp cụ thể trong yêu cầu phê duyệt, mặc dù ít người tiết lộ rõ ​​giá trị mặc định là gì. ZenGo đã triển khai một hệ thống trong đó các phê duyệt được gửi đồng thời với mỗi lần chuyển, điều này có thể giúp bảo vệ người dùng với chi phí sử dụng Gas cao hơn.

Warwick đã chia sẻ các hoạt động bảo mật của mình:

“Tôi có thể chấp thuận hợp đồng vô hạn nhưng tôi rất cẩn thận với tài khoản nào tôi thực hiện và hợp đồng nào tôi cung cấp cho nó vì nó ít xung đột hơn, nhưng rủi ro cao hơn nhiều”.

Ông cũng đề xuất rằng “nên bảo trì” bằng cách loại bỏ các khoản phụ cấp cho các hợp đồng không sử dụng thông qua các công cụ như Revoke, Approved Zone và TAC..

MỚI CẬP NHẬT

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...
eth

CryptoQuant: OI hợp đồng tương lai ETH đạt mức cao kỷ lục mới hơn...

Thị trường phái sinh Ethereum (ETH) có lẽ đang báo hiệu động lực tăng giá khi hợp đồng mở (OI)* hợp đồng tương lai...

Texas đang thảo luận về dự luật dự trữ chiến lược Bitcoin

Theo thông tin từ nhóm vận động phi lợi nhuận Satoshi Action Fund (SAF), dự luật dự trữ chiến lược Bitcoin đang được thảo...

Tin vắn Crypto 22/11: Bitcoin mới chỉ bắt đầu giai đoạn parabol trong chu...

Từ nhận định Bitcoin "mới chỉ bắt đầu giai đoạn parabol trong chu kỳ hiện tại" đến CFPB loại ví tiền điện tử ra...

Mùa Altcoin đầy sôi động: Đừng bỏ lỡ cơ hội đầu tư vào các...

Thị trường tiền điện tử vài tuần gần đây liên tục ghi nhận đà tăng trưởng bùng nổ mạnh mẽ. Đồng Bitcoin (BTC) gần...

Tập đoàn Charles Schwab cân nhắc giao dịch crypto, tân CEO ‘cảm thấy ngớ...

Charles Schwab, một trong những tập đoàn tài chính lớn nhất Hoa Kỳ, có kế hoạch tham gia thị trường crypto giao ngay khi...

Giá Popcat giảm mạnh, CatSlap bùng nổ ngày ra mắt. Meme coin hệ mèo...

Hãy quên Popcat đi! Một meme coin mới có tên CatSlap ($SLAP) vừa chính thức ra mắt và nhanh chóng trở thành cái tên...
Sandeep Nailwal của Polygon cảnh báo Rug Pulls memecoin

Các vụ kéo thảm memecoin như QUANT có thể thu hút sự đàn áp...

Sandeep Nailwal, đồng sáng lập mạng Ethereum layer-2 Polygon, cảnh báo rằng sự gia tăng các vụ lừa đảo liên quan đến memecoin có...

Các vụ kiện của SEC sẽ “âm thầm khép lại” sau khi Gensler từ...

Nhiều vụ kiện liên quan đến chứng khoán nhằm vào các công ty crypto tại Hoa Kỳ có khả năng sẽ “âm thầm khép...

[QC] Dogizen, ICO Đầu Tiên Trên Telegram, Thu Hút Được 1,4 Triệu USD Khi...

Trong thời gian ngắn, Dogizen đã thu hút sự chú ý trên khắp thế giới tiền điện tử, huy động được hơn 1,4 triệu...

The Graph (GRT) giới thiệu tiêu chuẩn GRC-20 cho cấu trúc dữ liệu Web3

The Graph, một hệ thống lập chỉ mục phi tập trung tương tự Google dành cho blockchain, đã giới thiệu một tiêu chuẩn dữ...
xrp-chau-au

Giá XRP tăng hơn 30% sau khi nhà quản lý tài sản toàn cầu...

Công ty quản lý tài sản Wisdomtree đã thông báo vào thứ Năm về việc ra mắt sản phẩm giao dịch hoán đổi (ETP)...

Tòa án Hoa Kỳ ra phán quyết SEC vượt quá thẩm quyền, hủy bỏ...

Một tòa án liên bang đã hủy bỏ quy định gây tranh cãi liên quan đến 'dealer - đại lý' của Ủy ban Chứng...
TruthFi

Trump Media tiết lộ tham vọng về giao dịch và thanh toán tiền điện...

Công ty truyền thông xã hội Trump Media and Technology Group (TMTG) của Tổng thống đắc cử Donald Trump đã tiết lộ tham vọng...