Hacker mũ trắng đã bất ngờ tìm thấy lỗ hổng trong hợp đồng thông minh của Virtuals Protocol, buộc dự án AI agent này phải nhanh chóng triển khai bản vá và tái khởi động chương trình tiền thưởng phát hiện lỗi.
Vào ngày 3/12/2024, nhà nghiên cứu bảo mật ẩn danh Jinu đã liên hệ với Virtuals Protocol sau khi phát hiện lỗi của một trong những hợp đồng thông minh đã được kiểm toán. Tuy nhiên, sau khi báo cáo vấn đề, Jinu biết công ty không có chương trình tiền thưởng lỗi đang hoạt động, nghĩa là phát hiện này không đủ điều kiện để nhận phần thưởng.
Hacker mũ trắng tiết lộ lỗ hổng bảo mật
Theo Jinu, team Virtuals Protocol cũng đã đóng nhóm Discord được tạo ra chỉ để báo cáo lỗ hổng bảo mật. Trong một bài đăng trên X, Jinu cho biết:
“Lỗ hổng bảo mật này rất đơn giản và có thể tác động đến hệ sinh thái Virtuals Protocol (nhưng có lẽ Virtuals Protocol không quan tâm đến bảo mật)”.
Jinu giải thích rằng lỗ hổng bảo mật này liên quan đến việc thiếu xác thực khi tạo AgentToken dựa trên ngưỡng liên kết nội bộ.
“Nếu bị exploit (tấn công khai thác), lỗ hổng bảo mật đó sẽ ngăn không cho AgentToken được tạo cho đến khi hợp đồng được sửa”, Jinu cho biết.
Sau khi thông tin được công khai trên X, Virtuals Protocol đã liên hệ với Jinu và đưa ra bản sửa lỗi ngay lập tức.
Virtuals Protocol vẫn chưa quyết định về phần thưởng cho việc phát hiện lỗi
Mặc dù đã khắc phục kịp thời, Virtuals Protocol vẫn chưa công bố phần thưởng cho Jinu. Trong một tin nhắn gửi đến nhà nghiên cứu, công ty đã cảm ơn Jinu vì báo cáo sự cố và xin lỗi vì hiểu lầm trước đó.
“Jinu, chúng tôi đã xác minh lỗ hổng bảo mật và áp dụng bản vá bên dưới. Cảm ơn bạn đã báo cáo sự cố này với chúng tôi và chúng tôi xin lỗi vì sự hiểu lầm giữa bộ phận hỗ trợ với bạn. Chúng tôi sẽ xem xét lại mức độ nghiêm trọng của sự cố và sớm trao cho bạn phần thưởng phát hiện lỗi”.
Khi được hỏi kỳ vọng về phần thưởng, nhà nghiên cứu không rõ về mức phần thưởng chung cho việc phát hiện lỗi. Jinu quan tâm đến Virtuals Protocol sau khi một người bạn đầu tư vào token được tạo trên Virtuals.
“Tôi đã dành khoảng 30 phút để xem code có hoạt động tốt không”, Jinu nói trước khi phát hiện ra lỗi.
Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
Tham gia Telegram: https://t.me/tapchibitcoinvn
Twitter (X): https://twitter.com/tapchibtc_io
Tiktok: https://www.tiktok.com/@tapchibitcoin
- VIRTUAL đạt ATH mới – Virtuals Protocol đặt mục tiêu lớn cho năm 2025
- Cơn sốt AI agent có thể sẽ kéo dài đến hết năm 2025 nhưng không tồn tại lâu dài
- Bitcoin bước sang tuổi 16: Nhà đầu tư mua thêm 1 tỷ USD chỉ trong 48 giờ
Mark
