Lỗ hổng nghiêm trọng được phát hiện trong hợp đồng thông minh phổ biến của Ethereum

Một lỗ hổng nghiêm trọng đã được tìm thấy ở Fairwin, một dapp mô hình ponzi hiện đang được xếp hạng là dapp sử dụng nhiều gas nhất của Ethereum.

“Có một lỗ hổng trong hợp đồng fairwin! Thông tin chi tiết sẽ được tiết lộ trong một vài ngày tới, nhưng các hacker mũ đen có thể tìm thấy nó dễ dàng! Mọi người nên ngừng sử dụng hợp đồng này, tiền của bạn đang gặp rủi ro !!!”

Đó là cảnh báo của Griff Green đến từ Slockit, một nhà phát triển Ethereum lâu năm. Thông tin chi tiết rõ ràng đã được tiết lộ cho một nhóm các nhà phát triển Eth nổi tiếng được gọi là White Hat Group.

Họ chưa được tiết lộ ra công chúng, nhưng Green nói rằng một lập trình viên mũ đen có thể dễ dàng tìm thấy nó.

Hiệu quả của việc khai thác lỗ hổng này không rõ ràng vì Ameen Soleimani, một nhà phát triển dapp, nói rằng:

“Bạn có thể tấn công nó mà không phải không mạo hiểm số tiền của mình nếu chủ sở hữu quyết định rút nó.”

Điều đó cho thấy có một “cửa hậu” mà chủ sở hữu hợp đồng về cơ bản có thể làm bất cứ điều gì anh ấy/cô ấy muốn.

Tuy nhiên, hợp đồng này được sử dụng đáng kể với rất nhiều tiền chảy vào nó. Việc có nhiều giao dịch gửi 15 ETH không phải là hiếm, với thiết kế khá kém hiệu quả khi nó phải trải qua một vòng lặp hàng ngàn lần.

Vòng lặp đó có thể là phần ponzi vì đây là một mô hình kim tự tháp (pyramid scheme) theo nghĩa đen trong đó hứa hẹn 1% mỗi ngày, họ nói rằng:

“Cấp độ thành viên của là V1, V2, V3, 1-5 ETH là V1, 6-10 ETH là V2, 11-15 ETH là V3.

Thu nhập từ vốn chủ sở hữu: cổ tức hàng ngày của V1 là 0,5%, cổ tức hàng ngày của V2 là 0,7% và cổ tức hàng ngày của V3 là 1%.

Phần thưởng node: V1: chỉ nhận phần thưởng thế hệ thứ nhất, 50% cổ tức hàng ngày của thế hệ thứ nhất, V2: chỉ nhận phần thưởng thế hệ thứ hai, 70% cổ tức hàng ngày của thế hệ thứ nhất, 50% cổ tức hàng ngày của thế hệ thứ hai, V3: nhận phần thưởng thế hệ không giới hạn, 100% cổ tức hàng ngày của thế hệ thứ nhất, 70% cổ tức hàng ngày của thế hệ thứ hai, 50% cổ tức hàng ngày của thế hệ thứ ba, 10% cổ tức hàng ngày cổ tức của thế hệ thứ tư đến thế hệ thứ mười, 5% cổ tức hàng ngày của thế hệ 11-20 và hơn 1% cổ tức hàng ngày.”

Tại một số thời điểm, hợp đồng chạm mức 0 khi “các nhà đầu tư” cũ của người dùng được các nhà đầu tư mới trả tiền đến lúc không còn gì nữa. Tại thời điểm đó, tất cả điều này sau đó khởi động lại.

Vì những lý do cụ thể, nó khá mơ hồ về việc ai là người đứng sau hợp đồng này. Trang web “chính thức” của họ đã liệt kê một số nhóm, nhưng điều đó có vẻ rất giả tạo vì những cái tên tên giống hệt với một dự án khác, mặc dù các hình ảnh không giống.

Chúng tôi không hề quen thuộc với dự án khác này. Chúng tôi cũng không biết liệu những người này có thực sự tồn tại với danh tính đã được đưa ra hay không. Chúng tôi nghi ngờ họ không tồn tại vì các tiến sĩ từ Đại học Cambridge có xu hướng công khai danh tính online. Ở đây có không ai làm vậy cả.

Tuy nhiên, việc sử dụng những cái tên giống nhau là hơi cẩu thả hoặc có lẽ là cố tình vì họ có thể không muốn những người rất thông minh chơi với hợp đồng thông minh của họ, vì vậy, tất cả đều rõ ràng với một quảng cáo từ Fairwin nói rằng “sự bảo đảm luôn được cam đoan.”

Câu nói đó khá mơ hồ khi dịch từ tiếng Trung Quốc, nhưng nó gợi ý là đây là một dự án từ châu Á và dường như nó khá phổ biến ở đó.

Cho dù có bất kỳ sự thật nào về sự phổ biến đó mà chúng ta chưa biết. Đây có thể là tất cả các chủ sở hữu hợp đồng đang “giả vờ” để thu hút sự chú ý, mà giờ đây anh ấy/cô ấy rõ ràng đã đạt được doanh thu bởi vì họ đã ăn 50% tất cả khí gas eth và thậm chí đến một lúc nào đó sẽ đạt tới 70%.

Tuy nhiên, một sự tương tác với hợp đồng thông minh này có thể có giá tới $ 30. Vì vậy, việc giả mạo nó sẽ khá tốn kém.

Chúng tôi nghi ngờ việc này có thể là từ một nhóm hoặc nhà phát triển mà năm ngoái đã sao chép khá nhiều bản sao Fomo3d.

Nếu bạn còn nhớ vụ việc đó, nó là một kế hoạch ponzi với LastWinner là phiên bản Trung Quốc.

Không có nhiều bằng chứng cho suy đoán của chúng tôi vì họ có cùng cảm giác, vì vậy có khả năng điều này cũng sẽ chìm xuống khi vòng ponzi đầu tiên kết thúc.

Điều đó có thể mất một thời gian vì hợp đồng hiện có 54.000 eth, trị giá khoảng 9 triệu đô la, nhưng một khi nó lật ngược ván cờ, nó có thể sẽ làm điều đó một cách nhanh chóng.

• Nâng cấp ProgPoW Ethereum gây phân chia chuỗi nhiều khả năng là từ phía người dùng thay vì miner
• Nghiên cứu Santiment: Ethereum đã có hoạt động phát triển hơn 5 lần so với EOS

Diệu Anh

Tạp chí Bitcoin | Trustnodes