Xuất hiện lỗ hổng bảo mật có thể đánh sập blockchain Avalanche
Ngày 8/9, một nhà phát triển Ethereum đã công bố báo cáo về lỗ hổng bảo mật trên mạng Avalanche. Theo cảnh báo, lỗ hổng này có thể dẫn đến cuộc tấn công nghiêm trọng đối với mạng lưới blockchain layer 1.
Lỗ hổng bảo mật được phát hiện lần đầu tiên bởi Peter Szilagyi, trưởng nhóm phát triển của Ethereum vào ngày 29/3.
Publishing my #Avalanche vulnerability report from 29th March, 2022 that could have been used to take the entire network down at no cost.
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
The issue was fixed way back, and with the latest Avalanche hard fork, all nodes run the patched software.
Njoy :)https://t.co/nokedKF7IZ
Tại thời điểm đó, tổng giá trị bị khóa trên nền tảng (TVL) của Avalanche là hơn 9 tỷ USD và vốn hóa thị trường khoảng 24 tỷ USD, theo DeFi Llama. Vấn đề này đã được vá.
Báo cáo do Szilagyi công bố (tại đây) đã nêu bật một số mốc thời gian của các sự kiện quan trọng diễn ra trước đó và những chi tiết liên quan đến lỗ hổng bảo mật. Sau khi Szilagyi phát hiện ra lỗi nghiêm trọng vào ngày 29/3, anh đã đề xuất một bản để sửa nó với đội ngũ Avalanche. Và lỗ hổng bảo mật được vá ngay trong ngày hôm đó.
Szilagyi cho biết lỗ hổng này xuất phát từ sự cố của các node từ xa khi tiếp cận gói PeerList độc hại. Nói cách khác, kẻ tấn công có thể đã chạy một node trên mạng lưới Avalanche với số tiền trị giá khoảng 179,000 USD. Thông qua đó, hắn ta gửi các gói PeerList độc hại (được sử dụng để tiếp cận mạng) đến các node khác và đánh sập toàn bộ mạng một cách dễ dàng.
Ngoài ra, hacker cũng có thể chọn cách chạy một node chưa được xác thực để thực hiện cuộc tấn công, nhưng có thể mất nhiều thời gian hơn.
"Kết nối mạng lưới của Avalanche khá rời rạc và có nhiều sơ hở. Ngay cả một việc tấn công vào nguồn kết nối duy nhất cũng có thể đánh sập một node. Nguy hiểm hơn là khi tất cả các node trong mạng đều kết nối với các validator (trình xác thực). Điều này có thể ảnh hưởng đến toàn bộ hệ thống,” Szilagyi nhấn mạnh.
Bên cạnh đó, Szilagyi cũng cho biết trong báo cáo của mình rằng nếu hacker hỗ trợ cho validator mới để tấn công thì hắn sẽ mua vào các token AVAX với số tiền trị giá khoảng 179,000 USD.
Avalanche gần đây đã dính vào lùm xùm “đâm sau lưng” một số dự án. Như MarginATM đã đưa tin (tại đây), ngày 27/8, thị trường tiền mã hóa xôn xao về một bài báo tiết lộ động thái “chơi xấu” đối thủ của nền tảng Avalanche, trong đó có cả sàn giao dịch Binance. Theo Crypto Leak, vài năm trước, Ava Labs - công ty phát triển Avalanche và công ty luật Roche Freedman đã ký một thỏa thuận.
Trong thỏa thuận này, Ava Labs sẽ cấp cho Roche Freeman một lượng lớn AVAX token và cổ phiếu của Ava Labs (hiện trị giá vài trăm triệu USD). Đổi lại, công ty luật đồng ý giúp Ava Labs thực hiện một số hoạt động tiêu cực. Trước tin đồn này, cả Giám đốc Điều hành Ava Labs, Emin Gün Sirer và Kyle Roche, luật sư của công ty luật Roche Freedman đều lên tiếng phủ nhận sự việc.