Trang chủ Tạp chí Giá Coin Hôm Nay Tìm hiểu cách khai thác khiến EOS.IO “không thể sử dụng được”...

Tìm hiểu cách khai thác khiến EOS.IO “không thể sử dụng được” trong 2 giờ

Vào ngày 13/9, một kẻ tấn công đã tràn vào mạng EOSIO để rút 110.000 đô la bằng EOS từ một dApp đánh bạc. Trong quá trình này, người dùng không thể sử dụng nhiều ứng dụng do tắc nghẽn. Bài viết sẽ phân tích chi tiết phương thức mà hacker đã làm điều đó.

Khái niệm cơ bản về khai thác tắc nghẽn mạng

Kẻ tấn công đã đẩy mạng EOS vào “chế độ tắc nghẽn cao” để khai thác hợp đồng thông minh. Mưu mẹo này tạm thời khiến một số tài nguyên mạng miễn phí không khả dụng, khiến các chủ sở hữu token nhỏ hơn “không thể sử dụng” nhiều ứng dụng trên mạng trong hơn 2 giờ.

Mặc dù mạng vẫn có thể truy cập được (ví dụ, một nhà thám hiểm khối vẫn hoạt động), nhưng nhiều người đã “bị chặn xuất bản các bản cập nhật” hoặc “làm bất cứ điều gì tích cực trên chuỗi”, trừ khi họ trả tiền cho các tài nguyên mạng cực kỳ tốn kém.

Vào lúc cao điểm tắc nghẽn mạng, một thành viên cộng đồng cho biết mạng đòi hỏi gần 12 EOS để thực hiện một giao dịch duy nhất. Hầu hết các blockchain đều tính phí trực tiếp cho các giao dịch. EOSIO cho phép người dùng stake token của họ để đổi lấy tài nguyên mạng.

Kẻ tấn công có thể đã thuê một lượng lớn tài nguyên mạng trên sàn giao dịch tài nguyên được mở gần đây. Các tài nguyên này được tận dụng để chọn những giao dịch hợp lệ và đưa vào blockchain nhằm thao túng kết quả của dApp đánh bạc.

Trong thời gian đó, những người sử dụng dApp đánh bạc không có đủ EOS trong tay để thực hiện hợp đồng ngoại tuyến (hoặc thực hiện bất kỳ hành động phòng ngừa nào). Điều này cho phép kẻ tấn công tùy ý rút hết hợp đồng thông minh tương đương 30,000 EOS, với chi phí 300 EOS trong các tài nguyên mạng được thuê.

Xác định kẻ tấn công

Từ ngày 17/8, người dùng “Mumachayinmm” bắt đầu tiến hành các thử nghiệm chống lại nhiều loại dApp đánh bạc. Chỉ sau chưa đầy 1 tháng thử nghiệm, Mumachayinmm đã thuê tương đương 1.45 triệu EOS trong tài nguyên mạng.

Trước đây, điều này sẽ cần khoảng 5.8 triệu đô la token. Nhưng dịch vụ REX mới được ra mắt vào tháng 5 cho phép người dùng stake vì mục đích bảo mật và bỏ phiếu trong khi bán tài nguyên mạng mà stake cho phép. Sau khi REX ra đời, 1.45 triệu EOS trong tài nguyên mạng chỉ tốn 1,200 đô la.

Vào ngày 13/9, Mumachayinmm đã thực hiện hàng trăm ngàn giao dịch trên EOSIO.

Chi tiết kỹ thuật về hoạt động khai thác dApp đánh bạc

EOSPlay là dApp đánh bạc phi tập trung cung cấp các trò chơi như poker và dice. Dịch vụ có thể khai thác bằng cách tạo ra các số ngẫu nhiên cho các trò chơi này.

Thay vì sử dụng một nguồn ngẫu nhiên bảo mật, EOSPlay đã sử dụng blockchain của EOSIO làm nguồn entropy. Thật không may, thông tin trên blockchain có thể bị thao túng.

Ví dụ, trên các công cụ khai thác Bitcoin, những người tìm thấy khối có thể chọn các giao dịch theo suy xét của họ, miễn là giao dịch hợp pháp. Về mặt lý thuyết, nếu dApp sử dụng các giao dịch trên Bitcoin để tính toán thì những người khai thác lớn có thể chơi trò chơi này.

Trên EOSIO, cách tương tự để thao túng blockchain là tích lũy đủ tài nguyên mạng để bao gồm bất kỳ giao dịch nào được những người dùng khác mong muốn.

Cụ thể, theo nhà phát triển hợp đồng thông minh Dexaran đáng kính, những gì kẻ tấn công đã làm là đưa các giao dịch bị trì hoãn vào từng khối. Các khối này là những khối mà EOSPlay đã sử dụng để tính các số ngẫu nhiên.

Bằng cách độc quyền tài nguyên mạng, kẻ tấn công sau đó có thể tính toán số ngẫu nhiên trước khi hợp đồng có thể. Dexaran cho biết nếu số đó bị mất thì các giao dịch bị trì hoãn bắt đầu “một vòng lặp vô hạn”, đẩy việc tạo số ngẫu nhiên sang khối tiếp theo.

Thủ đoạn này đã cho phép mumachayinmm giành chiến thắng trên EOSPlay nhiều lần.

tim-hieu-cach-khai-thac-khien-eos-io-khong-the-su-dung-duoc-trong-2-gio

Kiếm được hàng chục ngàn EOS bất hợp pháp | Nguồn: Bloks.io

EOSPlay bất lực trong cuộc tấn công

Vấn đề càng tồi tệ hơn khi những người duy trì dApp đánh bạc đã không đóng góp đủ cho EOS để trang trải chi phí vận hành hợp đồng khi chế độ bảo trì của EOSIO được kích hoạt. Đây là một sự giám sát về phía các nhà bảo trì.

Khi tài nguyên mạng bị độc quyền, các nhà bảo trì cần có đủ thanh khoản trong tay để đảm bảo giao dịch có thể tạm dừng hợp đồng đi qua. Có vẻ như họ đã không có token trong tay, cho phép kẻ tấn công chờ thời cơ khi hợp đồng bị rút cạn.

Những cuộc tấn công spam này không xảy ra duy nhất đối với EOS. Các mạng như Bitcoin và Ethereum cũng dễ bị tấn công bởi spam nên chủ sở hữu token giàu có muốn trả tiền cho mạng (mặc dù rất đắt trong hầu hết các trường hợp).

Phản hồi của giám đốc điều hành Block.one

CTO Block.one và là người tạo ra EOSIO Daniel Larimer xoa dịu “FUD” xung quanh các cuộc tấn công tắc nghẽn mạng trên Twitter. Ông khẳng định mạng lưới đang “hoạt động như dự định” là:

“EOS đang hoạt động đúng quy thức. Điều này không khác gì khi những kẻ tấn công xâm nhập ETH hoặc Bitcoin với giao dịch spam phí cao. Mạng đã không đóng băng các chủ sở hữu token, không có băng thông khác có sẵn để sử dụng miễn phí”.

Tuy nhiên, những khẳng định này mâu thuẫn với các bình luận của Larimer vào tháng 5/2018 trong khi anh đang chào mời thiết kế không phí của EOSIO:

“Trên EOSIO, không một người dùng nào có khả năng bão hòa toàn bộ mạng cho dù họ sẵn sàng chi bao nhiêu tiền”.

Tuy nhiên, đó chính xác là những gì đã xảy ra trong quá trình khai thác. Kẻ tấn công đã bão hòa mạng bằng cách chi 1,200 đô la.

CEO Brendan Blumer của Block.one cũng đã bảo vệ EOSIO trên phương tiện truyền thông xã hội. Mặc dù vậy, anh ta khá mơ hồ về các hành động cụ thể cho đến khi bị một thành viên cộng đồng dồn ép.

“Chúng tôi theo dõi sát sao các cuộc thảo luận về quá trình phát triển của mạng EOS và liên kết với các đồng nghiệp của chúng tôi trong việc tối đa hóa an ninh, hiệu suất và khả năng của mạng. Chúng tôi đang lên kế hoạch cẩn thận cho các bước tiếp theo với phạm vi toàn cầu và mục tiêu tham gia lành mạnh”.

Blumer tuyên bố nếu người dùng stake EOS, họ sẽ luôn có quyền truy cập vào tài nguyên mạng. Nhưng số tiền sẽ thay đổi đáng kể và khi khách hàng thanh toán đang sử dụng tất cả, sẽ cần phải trả tiền để duy trì cùng mức truy cập.

“Nếu bạn đặt cược cho EOS thì bạn đã không cần phải lo lắng về việc mất quyền truy cập vào băng thông. Nếu bạn mong đợi một lượng băng thông miễn phí vô hạn mà không bao giờ phải trả tiền cho nó thì bạn sẽ cần tìm một người sẵn sàng trợ cấp cho quá trình sử dụng để tránh gián đoạn khi khách hàng trả phí đang sử dụng tất cả”.

Vấn đề đặt ra

Khai thác gần đây đặt ra những câu hỏi nghiêm trọng về blockchain của EOSIO. Thành viên cộng đồng tích cực Jared Moore đã hỏi: Nếu mạng có nguy cơ tăng đột biến về chi phí tài nguyên thì các nhà phát triển nên có bao nhiêu thanh khoản để đảm bảo họ được bảo vệ? Ông lập luận nếu không có hướng dẫn, các nhà phát triển dApp sẽ tiếp tục bị thiệt hại bởi các kiểu khai thác này.

Một vấn đề khác là truy cập. Khi EOS được sử dụng nhiều hơn, có khả năng mạng cuối cùng sẽ chuyển sang trạng thái “chế độ tắc nghẽn cao liên tục”, một người khác cho biết.

Điều này có nghĩa là thay vì người dùng với thời gian ngắn, các nhà phát triển và công ty sẽ chi phối quyền truy cập vào các tài nguyên trên mạng, đặt ra câu hỏi về việc mạng được xây dựng cho ai. Moore cho biết những tập đoàn tương tự cũng có thể độc quyền tài nguyên trên mạng và về bản chất trở thành người gác cổng.

Về mặt tích cực, một nhà bình luận khác cho rằng kịch bản như vậy sẽ khiến cho EOS giống như sở hữu đất, đưa ra giá trị token thông qua tài nguyên mạng mà chủ sở hữu cho phép.

Kỹ sư bảo mật Dexaran và là người tạo ra tiêu chuẩn token ERC-223 đã cung cấp đề xuất sau đây để giảm thiểu các cuộc tấn công tắc nghẽn trong tương lai trên dApps. Ông nhận xét:

“Rất vui khi được tính toán số tiền bạn cần đưa vào tài khoản ‘dự trữ’ để đảm bảo có quyền truy cập vào các hợp đồng của mình ngay cả khi bị tắc nghẽn nghiêm trọng”.

Một thành viên khác trong cộng đồng bày tỏ nhu cầu về các cách tốt hơn để tính toán EOS skate cần thiết trong các điều kiện mạng khác nhau:

“Vấn đề quan trọng ở đây là cộng đồng đã quen với số lượng giao dịch miễn phí mà họ nhận được khi mạng tương đối không thể sử dụng. Chúng tôi cần ước tính tốt hơn về số lượng EOS bạn cần stake trong các điều kiện mạng khác nhau”.

Ông tiếp tục mô tả các vấn đề với cách skate được xử lý trên mạng.

“Tôi cũng có một vấn đề rất lớn là EOSIO không ưu tiên thực hiện các giao dịch skate trên mạng. Khi các điều kiện này xảy ra, người dùng cố gắng stake nhiều EOS hơn nên được cho phép (một lần cho mỗi tài khoản) như một giao dịch ưu tiên. Khi tôi đã trả EOS khổng lồ, thật vô lý khi tôi bị khóa và không thể phân bổ nhiều hơn vào tài khoản của mình. Tôi không thể ‘trả tiền nhiều hơn’ ngay cả khi tôi muốn”.

Thiết kế một blockchain công khai là một công việc phức tạp, rất dễ phạm sai lầm. Hiện tại, rất tốn kém để xây dựng các ứng dụng hữu ích trên bất kỳ blockchain nào. Các giám đốc điều hành của Block.one nên tiên phong trong việc làm cho trải nghiệm phát triển trở nên dễ dàng và ít rủi ro hơn, mở đường cho việc chấp nhận hàng loạt, thay vì duy trì các vị trí cứng rắn mà ‘không mắc lỗi gì”.

Minh Anh

    Tạp chí Bitcoin | Cryptoslate

MỚI CẬP NHẬT

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...
eth

CryptoQuant: OI hợp đồng tương lai ETH đạt mức cao kỷ lục mới hơn...

Thị trường phái sinh Ethereum (ETH) có lẽ đang báo hiệu động lực tăng giá khi hợp đồng mở (OI)* hợp đồng tương lai...

Texas đang thảo luận về dự luật dự trữ chiến lược Bitcoin

Theo thông tin từ nhóm vận động phi lợi nhuận Satoshi Action Fund (SAF), dự luật dự trữ chiến lược Bitcoin đang được thảo...

Tin vắn Crypto 22/11: Bitcoin mới chỉ bắt đầu giai đoạn parabol trong chu...

Từ nhận định Bitcoin "mới chỉ bắt đầu giai đoạn parabol trong chu kỳ hiện tại" đến CFPB loại ví tiền điện tử ra...

Mùa Altcoin đầy sôi động: Đừng bỏ lỡ cơ hội đầu tư vào các...

Thị trường tiền điện tử vài tuần gần đây liên tục ghi nhận đà tăng trưởng bùng nổ mạnh mẽ. Đồng Bitcoin (BTC) gần...

Tập đoàn Charles Schwab cân nhắc giao dịch crypto, tân CEO ‘cảm thấy ngớ...

Charles Schwab, một trong những tập đoàn tài chính lớn nhất Hoa Kỳ, có kế hoạch tham gia thị trường crypto giao ngay khi...

Giá Popcat giảm mạnh, CatSlap bùng nổ ngày ra mắt. Meme coin hệ mèo...

Hãy quên Popcat đi! Một meme coin mới có tên CatSlap ($SLAP) vừa chính thức ra mắt và nhanh chóng trở thành cái tên...
Sandeep Nailwal của Polygon cảnh báo Rug Pulls memecoin

Các vụ kéo thảm memecoin như QUANT có thể thu hút sự đàn áp...

Sandeep Nailwal, đồng sáng lập mạng Ethereum layer-2 Polygon, cảnh báo rằng sự gia tăng các vụ lừa đảo liên quan đến memecoin có...

Các vụ kiện của SEC sẽ “âm thầm khép lại” sau khi Gensler từ...

Nhiều vụ kiện liên quan đến chứng khoán nhằm vào các công ty crypto tại Hoa Kỳ có khả năng sẽ “âm thầm khép...

[QC] Dogizen, ICO Đầu Tiên Trên Telegram, Thu Hút Được 1,4 Triệu USD Khi...

Trong thời gian ngắn, Dogizen đã thu hút sự chú ý trên khắp thế giới tiền điện tử, huy động được hơn 1,4 triệu...

The Graph (GRT) giới thiệu tiêu chuẩn GRC-20 cho cấu trúc dữ liệu Web3

The Graph, một hệ thống lập chỉ mục phi tập trung tương tự Google dành cho blockchain, đã giới thiệu một tiêu chuẩn dữ...
xrp-chau-au

Giá XRP tăng hơn 30% sau khi nhà quản lý tài sản toàn cầu...

Công ty quản lý tài sản Wisdomtree đã thông báo vào thứ Năm về việc ra mắt sản phẩm giao dịch hoán đổi (ETP)...

Tòa án Hoa Kỳ ra phán quyết SEC vượt quá thẩm quyền, hủy bỏ...

Một tòa án liên bang đã hủy bỏ quy định gây tranh cãi liên quan đến 'dealer - đại lý' của Ủy ban Chứng...
TruthFi

Trump Media tiết lộ tham vọng về giao dịch và thanh toán tiền điện...

Công ty truyền thông xã hội Trump Media and Technology Group (TMTG) của Tổng thống đắc cử Donald Trump đã tiết lộ tham vọng...