- Zcash đã khắc phục một lỗ hổng nghiêm trọng trong phần mềm node của mình, có thể đã khiến hàng triệu đô la trị giá ZEC bị lộ.
- Lỗ hổng ảnh hưởng đến việc xác minh bằng chứng đối với các giao dịch gắn với pool shielded Sprout đã bị ngừng sử dụng (deprecated), dù không có báo cáo nào về việc khai thác.
Zcash đã vá một lỗ hổng phần mềm nghiêm trọng có thể, trong những hoàn cảnh sai lầm, đã cho phép kẻ tấn công rút cạn một lượng ZEC đáng kể từ một phần cũ của mạng lưới.
Vấn đề nằm trong zcashd, phần mềm node, và tập trung vào các giao dịch liên quan đến pool shielded Sprout kế thừa (legacy).
Theo bản công bố, các node đã bỏ qua việc xác minh bằng chứng trong các trường hợp đó. Đây là kiểu lỗi thường thu hút sự chú ý nhanh trong các hệ thống tập trung vào quyền riêng tư, vì việc kiểm tra bằng chứng không phải là chi tiết phụ. Nó là một phần của “cơ chế cốt lõi” giúp các giao dịch chuyển tiền không hợp lệ không bị chấp nhận ngay từ đầu.
Một lỗi trong một pool cũ, nhưng vẫn là rủi ro thực sự
Lỗ hổng được Alex “Scalar” Sol công bố vào ngày 23 tháng 3, cùng với báo cáo công khai được phát hành vào thứ Ba. Khu vực bị ảnh hưởng không phải là đường dẫn quyền riêng tư chính mà đa số người dùng nghĩ đến ngày nay, mà là pool Sprout cũ hơn, vốn đã bị ngừng sử dụng (deprecated) từ trước. Dù vậy, “deprecated” không đồng nghĩa với vô hại. Nếu các khoản tiền vẫn còn nằm ở đó, bề mặt tấn công vẫn còn phù hợp.
Điều làm lỗ hổng đặc biệt nhạy cảm là khả năng các giao dịch không hợp lệ có thể lọt qua một bước xác thực quan trọng. Nói theo cách thực tế, điều đó có thể đã mở ra cánh cửa để rút tiền từ pool mà mạng không phát hiện vấn đề ở nơi mà nó lẽ ra phải bắt lỗi.
Zcash nói rằng quỹ vẫn an toàn
Cho đến nay, phần quan trọng nhất là đây. Lỗi đã được khắc phục trước bất kỳ hoạt động khai thác nào được biết đến, và phần công bố nêu rõ rằng tất cả quỹ người dùng vẫn an toàn.
Điều này có thể giúp xoa dịu sự hoảng loạn ngay lập tức, dù nó không xóa bỏ bài học rộng hơn. Các thành phần kế thừa trong hệ thống crypto có thói quen vẫn giữ tính “liên quan về mặt kinh tế” lâu sau khi hệ sinh thái đã chuyển sang suy nghĩ khác. Các pool cũ, logic đã được loại bỏ, các nhánh code đã bị ngừng sử dụng (deprecated)—những thứ này vẫn còn quan trọng khi tài sản thực sự vẫn gắn liền.
Với Zcash, sự việc này ít liên quan đến thiệt hại nhìn thấy được và nhiều hơn về giá trị của việc phát hiện một thất bại xác thực nghiêm trọng trước khi nó trở thành một vấn đề. Trong bảo mật blockchain, đôi khi câu chuyện quan trọng nhất lại là cuộc khai thác chưa bao giờ có cơ hội xảy ra.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Lattice 宣 bố ngừng hoạt động: Redstone sẽ đóng cửa vào ngày 16 tháng 5, người dùng được giới hạn thời gian rút tiền
Nhà phát triển cơ sở hạ tầng cho game blockchain Lattice thông báo sẽ ngừng hoạt động vào ngày 15 tháng 5 và nhắc người dùng rút tiền. Sau khi ngừng hoạt động, tiền trong hợp đồng không thể được rút thông qua hợp đồng trên L1; chỉ tiền trong ví cá nhân mới có thể được thu hồi. Lattice trong 5 năm qua không thể thực hiện mô hình kinh doanh, cuối cùng quyết định đóng cửa, nhưng khung MUD của họ và trò chơi DUST sẽ tiếp tục được vận hành.
MarketWhisper7phút trước
Người dùng mất $316K USDC sau khi ký giao dịch Permit2 độc hại, GoPlus cảnh báo
Một người dùng đã mất 316.000 USD trong USDC do một giao dịch Permit2 độc hại, qua đó nêu bật các lỗ hổng trong cơ chế phê duyệt token. GoPlus Security kêu gọi người dùng tránh lừa đảo phishing bằng cách tuân theo các biện pháp bảo mật quan trọng và cài đặt tiện ích mở rộng bảo vệ của hãng.
GateNews1giờ trước
Giao thức Cow Protocol bị chiếm đoạt DNS, người dùng cần hủy cấp quyền ngay lập tức
Nền tảng tổng hợp DEX Cow Swap do Cow Protocol xây dựng đã gặp phải hành vi chiếm quyền DNS vào ngày 14 tháng 4; kẻ tấn công đã giả mạo và thay đổi bản ghi tên miền, chuyển hướng lưu lượng truy cập của người dùng sang một trang web giả mạo, đồng thời triển khai một chương trình để xóa sạch ví. Cow DAO ngay lập tức tạm dừng dịch vụ và khuyến nghị người dùng thu hồi ủy quyền. Sự việc này không ảnh hưởng đến các hợp đồng thông minh của giao thức, tuy nhiên người dùng cần cảnh giác với các rủi ro liên quan và kiểm tra lịch sử giao dịch.
MarketWhisper2giờ trước
Cảnh báo bảo mật CoW Swap về sự cố sau khi phát hiện tấn công từ frontend bởi Blockaid
Blockaid đã xác định một cuộc tấn công nhắm vào frontend của CoW Swap, đánh dấu tên miền của nó là độc hại. Người dùng được khuyến nghị ngừng mọi tương tác, thu hồi ủy quyền ví và chờ các cập nhật tiếp theo từ nhóm CoW Swap.
GateNews7giờ trước
Quỹ Ethereum cũng dùng nó! Giao diện front-end của CoW Swap bị tấn công, các “ông lớn” DeFi khuyên nên thu hồi (revoke) quyền ủy quyền
Nền tảng DeFi của Ethereum CoW Swap đã gặp phải hành vi chiếm đoạt DNS vào ngày 14 tháng 4, khiến người dùng có thể đối mặt với rủi ro lừa đảo. Mặc dù bản thân giao thức không bị xâm nhập, rủi ro tấn công vào giao diện người dùng vẫn cao. Ngành công nghiệp khuyến nghị người dùng nên thu hồi ủy quyền trước khi thực hiện các hành động trong tương lai. CoW Swap cung cấp chức năng giao dịch theo lô và chống lại các cuộc tấn công MEV; sự cố an ninh của nó có thể ảnh hưởng đến toàn bộ hệ sinh thái DeFi.
ChainNewsAbmedia8giờ trước
