Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng phần mềm có khả năng bị tấn công để đánh cắp tới 200 triệu đô la từ ba parachain tương thích với Ethereum trên Polkadot — Moonbeam, Astar Network và Acala.
Nhà nghiên cứu, được gọi là pwning.eth, đã tìm thấy và báo cáo lỗ hổng nghiêm trọng vào tháng 6 trong một phần mềm có tên Frontier được sử dụng để “wrap” token gốc trên ba dự án blockchain (hoặc parachain) trên mạng Polkadot. Báo cáo đã được gửi trên nền tảng săn lỗi tập trung vào tiền điện tử Immunefi vào ngày 27 tháng 6, nhưng chỉ mới được tiết lộ gần đây.
“Pwning.eth đã tìm thấy một lỗi ảnh hưởng đến toàn bộ hệ sinh thái Polkadot và sẽ cho phép hacker đánh cắp hơn 200 triệu đô la trên Moonbeam, Astar Network và Acala. Tất cả chúng đều dễ bị tấn công bởi một lỗi có thể cho phép những người dùng độc hại đúc các token gốc được wrap.”
Trong trường hợp này, wrap là quá trình chuyển đổi tài sản tiền điện tử gốc của blockchain thành token có thể được các ứng dụng hỗ trợ dễ dàng hơn. Nó được thực hiện với việc sử dụng một hợp đồng thông minh, hợp đồng này giữ các token gốc trong ký quỹ (escrow) và phát hành các token được wrap cho người dùng.
Lỗ hổng trên ba chain có thể bị lạm dụng để tạo ra các token được wrap không giới hạn, bao gồm Astar được wrap (WASTR) trên Astar, Moonbeam được wrap (WGLMR) trên Moonbeam và Moonriver được wrap (WMOVR) trên Moonriver – một mạng chị em của Moonbeam.
Immunefi cho biết giá trị ước tính của các tài sản bị lộ lỗ hổng là khoảng 200 triệu đô la trên ba parachain. Sau khi lỗ hổng được báo cáo, ba nhóm parachain đã làm việc để khắc phục và phát hành một bản vá khẩn cấp trước khi bất kỳ tác nhân độc hại nào có thể khai thác. Không có khoản tiền nào bị mất.
Moonbeam và Astar, những công ty có chương trình săn lỗi tích cực với Immunefi, đã trao 1 triệu đô la cho hacker có đạo đức thông qua nền tảng săn lỗi. Parity, nhà phát triển Frontier Library, đã quyết định đóng góp 250.000 đô la trong phần thưởng 1 triệu đô la, mặc dù không có tiền thưởng lỗi với Immunefi.
Pwning.eth không xa lạ gì với việc tìm ra các lỗi nghiêm trọng và được thưởng số tiền lớn. Vào đầu năm 2022, hacker mũ trắng đã được thưởng 6 triệu đô la tiền thưởng sau khi phát hiện ra lỗ hổng trong Aurora, một blockchain tương thích với EVM cho NEAR Protocol, cứu cánh cho khoảng 70.000 ETH trị giá 200 triệu đô la vào thời điểm đó.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter: https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Top nhà phân tích dự đoán tăng giá cho Chainlink, Polkadot, Binance Coin và hai altcoin khác
- Nhà đầu tư cần phải thận trọng với cấu trúc đi ngang hiện tại của Polkadot (DOT)
Itadori
Theo The Block
