Xuất Hiện Lỗ Hổng Bảo Mật Có Thể Đánh Sập Mạng Lưới Avalanche avax

Ðoan Thanh

Đầu ngày hôm nay đã xuất hiện cảnh báo về một cuộc tấn công có thể đánh sập toàn bộ mạng lưới Avalanche (AVAX).

Xuất Hiện Lỗ Hổng Bảo Mật Có Thể Đánh Sập Mạng Lưới Avalanche avax — Xuất hiện lỗ hổng bảo mật có thể đánh sập mạng lưới Avalanche (AVAX)

Lỗ hổng bảo mật lần đầu tiên được phát hiện bởi trưởng nhóm Ethereum Peter Szilagyi. Tại thời điểm đó, Avalanche đang là nơi “neo đậu” của hơn 9 tỷ USD tổng giá trị bị khóa (TVL) và 24 tỷ USD vốn hóa thị trường, theo DeFi Llama và Coingecko. Song lỗi đã được vá và Ava Labs từ chối bình luận về chuyện này.

Publishing my #Avalanche vulnerability report from 29th March, 2022 that could have been used to take the entire network down at no cost.

The issue was fixed way back, and with the latest Avalanche hard fork, all nodes run the patched software.

Njoy ?https://t.co/nokedKF7IZ

— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022

Báo cáo do Szilagyi công bố đã nêu rõ dòng thời gian của các sự kiện cũng như các chi tiết liên quan đến lỗ hổng bảo mật. Cụ thể, Szilagyi đã phát hiện ra lỗ hổng vào ngày 29/03 và mở lời đề nghị Avalanche vá lỗi. Đội ngũ đã phản hồi và nhanh chóng sửa chữa cùng ngày hôm đó.

Đây là một “sự cố node từ xa”. Nói nôm na, ai đó đã nạp vào một node Avalanche khoảng 179.000 USD để gửi các gói PeerList độc hại (được sử dụng để liên lạc mạng lưới) đến các node khác và gỡ mạng xuống một cách hiệu quả.

Kẻ tấn công cũng có thể đã chọn khởi chạy một node không xác thực (chỉ được kết nối với validator thay vì tất cả các node trong mạng), cho ra kết quả tương tự nhưng sẽ mất nhiều thời gian hơn.

Szilagyi cung cấp thêm một sự thật:

“Avalanche rất thoải mái trên mạng lưới của họ, thậm chí một kết nối duy nhất cũng đủ hạ gục một node. Vì tất cả các node trên mạng đều kết nối với tất cả các validator, nên đây là một cái chết lớn.”

Trong trường hợp kẻ tấn công tài trợ cho một trình xác thực mới để thực hiện cuộc tấn công, họ sẽ chọn bán khống AVAX ngay cả với chi phí trả trước là 179.000 USD. Điều này là do “dù sao thì mạng cũng sẽ phục hồi sau vài giờ để không có giá trị lâu dài nào bị mất.

Trong bối cảnh thị trường tiền mã hóa vẫn đang gặp rất nhiều khó khăn thì Avalanche phải đương đầu với “cú sốc” khác. Mới đây, một bài báo của Crypto Leaks đã phanh phui sự thật hoạt động ngầm của nền tảng và phơi bày hàng loạt âm mưu trần trụi khác.

Chi tiết: Avalanche lộ bằng chứng “chơi xấu” nhiều dự án đối thủ, kể cả Binance

Ngay sau đó, nhà sáng lập dự án đã chính thức lên tiếng bác bỏ cáo buộc “chơi xấu” đối thủ. Giá AVAX vào ngày 29/08 đã trải qua một phen “hoảng loạn”, rơi về tận 17,84 USD song đã dần hồi phục đến thời điểm hiện tại.