Năm 2016, ngành công nghiệp blockchain chấn động với một vụ án an ninh kỳ lạ: kẻ tấn công chỉ mất chưa đến 1 đô la phí giao dịch, nhờ một dòng mã viết ngược thứ tự, đã rút sạch tài sản kỹ thuật số trị giá 60 triệu đô la từ hợp đồng trên chuỗi của dự án hàng đầu The DAO. Toàn bộ quá trình không có brute-force, không xâm nhập bất hợp pháp, hoàn toàn dựa vào lỗ hổng logic của chính mã nguồn để thực hiện.


Nguyên lý của lỗ hổng này đơn giản đến mức khó tin: logic rút tiền bình thường lẽ ra phải xóa số dư tài khoản người dùng trước, sau đó mới thực hiện chuyển tiền. Nhưng hợp đồng năm đó đã viết sai thứ tự—chuyển tiền trước, xóa số dư sau. Kẻ tấn công tận dụng cơ chế callback được kích hoạt khi chuyển tiền, liên tục gửi yêu cầu rút tiền, lợi dụng lúc hệ thống chưa cập nhật trạng thái số dư, vòng này qua vòng khác rút tiền, đệ quy cho đến khi rỗng toàn bộ dự trữ của hợp đồng. Giải pháp sửa lỗi chỉ cần đổi chỗ hai dòng mã.
The DAO không phải là dự án nhỏ vô danh, nó là dự án tiêu biểu được chú ý nhất trong hệ sinh thái Ethereum lúc bấy giờ, quy mô gây quỹ lên tới 150 triệu đô la, mã nguồn đã qua nhiều vòng đánh giá của cộng đồng và kiểm tra bởi đội ngũ bảo mật chuyên nghiệp, nhưng không ai phát hiện ra lỗi logic cơ bản nhất này.
Sự kiện cuối cùng đã buộc cộng đồng Ethereum phải thực hiện hard fork, cưỡng chế rollback giao dịch để thu hồi tài sản bị đánh cắp, đồng thời trực tiếp tạo ra nhánh Ethereum Classic. Khái niệm "code là luật" mà ngành công nghiệp từ lâu tin tưởng, lần đầu tiên bị thực tế vả thẳng mặt, cuộc tranh luận về "khai thác lỗ hổng là hành động hợp lý hay trộm cắp" vẫn còn tiếp diễn đến nay.
Trớ trêu hơn, hơn chục năm trôi qua, những lỗ hổng cơ bản này không những không biến mất, mà còn liên tục tái diễn dưới vỏ bọc khác. Năm 2021, giao thức cho vay nổi tiếng CREAM Finance bị rút sạch 130 triệu đô la bằng cùng thủ thuật, do chuỗi gọi hàm lồng ghép nhiều lớp, phức tạp và ẩn giấu, dù đã qua kiểm toán chuyên nghiệp đầy đủ, vẫn không phát hiện ra rủi ro.
Ngoài ra, các cuộc tấn công flash loan không vốn, lỗi cấp quyền hàm viết sai, thậm chí vụ án lớn về cầu nối cross-chain gây thiệt hại 625 triệu đô la chỉ nhờ một email phishing, liên tục diễn ra trong ngành. Nhiều dự án vì chạy đua tiến độ lên sóng, cắt giảm chi phí phát triển, đã liên tục thỏa hiệp ở khâu bảo mật, mỗi chi tiết lười biếng cuối cùng đều dẫn đến thiệt hại khổng lồ khó cứu vãn.
$ETH
{spot}(ETHUSDT)
ETH1,68%
Xem bản gốc
post-image
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim