Một lỗ hổng bảo mật nghiêm trọng đã bị phát hiện trong ví smartphone Ethereum Argent. Nếu không bị phát hiện, có thể tiền của người dùng sẽ bị đánh cắp.
Trong bài đăng trên blog được công bố hôm thứ 5, công ty kiểm toán bảo mật OpenZeppelin nói rằng lỗ hổng này nằm ở ví không có “tính năng người bảo vệ” được kích hoạt.
Tính năng người bảo vệ cho phép các tài khoản đáng tin cậy thực hiện hành động cụ thể trên ví. Người bảo vệ có thể là ví phần cứng, tài khoản MetaMask, tài khoản Ethereum khác do bạn bè hoặc thành viên gia đình nắm giữ hoặc công cụ xác thực hai yếu tố.
Theo OpenZeppelin, lỗ hổng này sẽ cho phép hacker rút tiền từ ví và người dùng chỉ có thể ngăn chặn cuộc tấn công trong vòng chưa đầy 36 giờ.
Lỗ hổng bị phát hiện vào ngày 12/6, xác định ít nhất 329 ví có nguy cơ bị hack. Các ví này HODL 162 ETH (37,000 đô la).
OpenZeppelin đã phát hiện thêm 5,513 ví khác không có người bảo vệ thậm chí khi họ nâng cấp lên phiên bản phần mềm mới nhất, nhưng Argent cho biết hầu hết các ví này không hoạt động.
OpenZeppelin cho biết Argent đã nhanh chóng sửa lỗi và tiền của người dùng hiện đã an toàn. Argent liên lạc với người dùng bị ảnh hưởng ngay hôm sau ngày phát hiện lỗ hổng và đến ngày 19/6, Argent đã sửa và cập nhật hợp đồng thông minh dễ bị xâm phạm (một đoạn mã blockchain). Bài đăng blog có nội dung:
“Sau tiết lộ riêng tư của chúng tôi về lỗ hổng trên Argent, hành động ngay lập tức từ nhóm của họ và người dùng bị ảnh hưởng là cần thiết để đảm bảo an toàn cho tiền”.
Hiện tại tất cả các ví đều có tính năng người bảo vệ được kích hoạt ngay lập tức nhưng các ví được tạo trước ngày 30/3 không tự động bật và do đó rất dễ bị tấn công.
Bài đăng trên blog nói thêm rằng:
“OpenZeppelin và Argent đã hợp tác trong toàn bộ quá trình để giúp người dùng không bị mất tiền. Argent là ví Ethereum phổ biến cho điện thoại thông minh. Người sáng lập Itamar Lesuisse gọi nó là “nơi đơn giản và an toàn nhất cho tiền điện tử của bạn”.
- Các lỗ hổng tiềm năng có thể làm suy yếu Ethereum 2.0
- Hacker đánh cắp $ 250,000 từ sàn giao dịch phi tập trung Bisq nhờ lỗ hổng bản cập nhật mới
Dislaimer: Đây là thông tin cung cấp dưới dạng blog cá nhân, không phải thông tin tổng hợp hay lời khuyên đầu tư. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
