Công ty bảo mật blockchain Verichains của Việt Nam vừa phát hành khuyến cáo bảo mật số VSA-2022-100 về lỗi bảo mật trong thuật toán xử lý Merkle Tree (cấp nguy hiểm) và cảnh báo VSA-2022-101, liên quan đến tấn công làm giả IAVL qua nhiều lỗi bảo mật cấp độ nguy hiểm trên thư viện nền tảng Tendermint Core và BNB Chain.
Thông qua lỗ hổng, tin tặc có thể đánh cắp tài sản trong các dự án sử dụng cơ chế đồng thuận Tendermint BFT và Cosmos-SDK. Đây là 2 nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và Terra (đã sập).
Nguy cơ thiệt hại lớn
Trả lời Zing, ông Nguyễn Lê Thành, nhà sáng lập Verichains cho biết lỗ hổng được phát hiện khi công ty hỗ trợ Binance xử lý vụ tấn công cầu nối BNB Chain hồi tháng 10/2022, với thiệt hại được ước tính lên tới gần 600 triệu USD.
“Những chuyên gia của Verichains phát hiện một số lỗ hổng nghiêm trọng ở thư viện Tendermint Core, có thể gây ra vụ tấn công tương tự trường hợp của BNB Chain”, ông Thành chia sẻ.
Nhóm phát triển Tendermint và Cosmos đã nhận báo cáo và xác nhận lỗi bảo mật. Tuy nhiên, bản vá không được phát hành cho Tendermint do thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.
Tuy nhiên, do sự phổ biến của Tendermint và lượng tài sản đáng kể trong các dự án, chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL cho rằng nếu bị khai thác, lỗ hổng có thể dẫn đến mất mát tài chính đáng kể.
Ví dụ, cầu nối BNB Chain đã bị tấn công để phát hành trái phép 2 triệu BNB, tương đương khoảng 566 triệu USD do lỗ hổng trong xác minh Proof Range của IAVL trong mã code.
“Phản hồi này có phần chưa thỏa đáng trên phương diện bảo mật thông tin, bởi thư viện Tendermint Core ngoài Cosmos-SDK/IBC còn được dùng bởi các dự án tên tuổi khác như BNB Chain, OKX Chain và Band Chain”, ông Thành cho biết.
Theo nhà sáng lập Verichains, những dự án sử dụng bằng chứng đồng thuận IAVL trong thư viện Tendermint Core, chưa được vá lỗi có nguy cơ bị khai thác lỗ hổng, dẫn đến mất mát tài sản đáng kể.
Verichains cho biết đội ngũ BNB Chain đã được thông báo về lỗ hổng vào tháng 10/2022 và khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.
Cần xử lý và thông báo nhanh chóng
Năm 2022, hàng loạt cầu nối blockchain bị tấn công sau khi các hacker xác định và khai thác điểm yếu. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗi này có thể dẫn đến các cuộc tấn công tiếp theo và sự mất mát tiền tệ tương ứng, trong một số trường hợp có thể dẫn đến hàng triệu, thậm chí hàng tỷ USD.
Theo ông Nguyễn Lê Thành, các thư viện như Tendermint Core được sử dụng bởi nhiều dự án blockchain khác nhau. Do đó, lỗ hổng bảo mật trong thư viện có thể ảnh hưởng lớn đến dự án.
“Các thư viện mở như Tendermint Core thường có tính bảo mật tương đối cao do là mã nguồn mở. Lỗ hổng mà Verichains phát hiện không phải lỗi phổ biến, thông thường chỉ có thể tìm thấy bởi người có chuyên môn sâu về mật mã và bảo mật”, nhà sáng lập Verichains cho biết.
Theo chính sách công bố lỗi bảo mật có trách nhiệm, Verichains phát hành khuyến cáo cho công chúng sau 120 ngày.
Công ty kêu gọi những dự án Web3 sử dụng thư viện xác minh chứng thực IAVL của Tendermint nâng cấp bảo mật để phòng tránh những sự cố mất mát đáng tiếc.
Theo ông Thành, lỗi bảo mật nghiêm trọng của các thư viện thường liên quan đến hiện thực giải thuật đồng thuận, mật mã và lỗi xử lý logic. Đội ngũ duy trì thư viện và quản lý dự án đều có trách nhiệm xử lý, phòng tránh rủi ro bảo mật.
“Với đội ngũ xây dựng và duy trì thư viện mở như Tendermint Core, cần có trách nhiệm đảm bảo cập nhật vá lỗi tức thời, cũng như thông báo các thay đổi cho cộng đồng. Động cơ của họ là tăng số lượng dự án sử dụng mã nguồn mở này nhờ những lợi ích như các tính năng đặc biệt và an ninh.
Trong khi đó, các dự án như BNB Chain có động cơ tài chính để đảm bảo vận hành và mở rộng cơ sở người dùng, bằng cách duy trì sự tin tưởng vào tính bảo mật của nền tảng. Họ có trách nhiệm giữ an toàn cho quỹ của người dùng”, ông Thành chia sẻ với Zing.
Không chỉ đội ngũ duy trì thư viện và dự án blockchain, người đầu tư cần nắm bắt, tuân thủ chính sách bảo mật của nền tảng.
“Dù blockchain được xem là một trong những công nghệ bảo mật cao nhất hiện nay, vẫn có khả năng xuất hiện lỗ hổng bảo mật trong hệ thống. Vì vậy, người đầu tư hoặc tham gia nền tảng nên đảm bảo tuân thủ các quy tắc an toàn cơ bản, quan tâm đến độ bảo mật của nền tảng mà họ tham gia”, nhà sáng lập Verichains nói thêm.
Các lỗ hổng bảo mật và điểm yếu được xác định bởi đội ngũ Verichains trong quá trình nghiên cứu và kiểm thử thường được đăng trên website của công ty.