Cộng đồng Solana cho biết đã phát hiện và khắc phục thành công một lỗ hổng nghiêm trọng, có thể gây tổn thất lên đến hàng tỷ USD cho các dự án.
Solana xử lý kịp thời lỗ hổng “tỷ đô”
Đơn vị nghiên cứu bảo mật Neodyme vào sáng ngày 04/12 tiết lộ họ đã tìm thấy một lỗ hổng giao thức Solana Program Library (SPL), thứ mà có thể ảnh hưởng đến 2,6 tỷ USD giá trị khóa lại (TVL) của các dự án đang vận hành trên Solana.
The total TVL at risk was about 2.600.000.000 USD. Some of that value is lent out, and some other low-value coins are not economically viable to steal, but the potential profit was easily in the hundreds of millions.
— Neodyme (@Neodyme) December 3, 2021
Theo Neodyme, lỗ hổng này xuất phát từ cách lập trình làm tròn số của Solana Program Librabry, khiến người dùng có thể nạp rút qua lại giữa các token SPL và ctoken SPL đại diện cho số tiền đã staking trong một dự án bất kỳ. Lỗ hổng đã tồn tại trong thư viện SPL từ ngày 05/06/2021 và đã được chỉ ra, song các lập trình viên cho rằng phương thức tấn công ấy là không khả thi khi phải mất một số tiền giao dịch lớn trong khi lượng token rút ra được là vô cùng nhỏ. Tuy nhiên, Neodyme đã chạy thử giả định của họ và phát hiện ra nếu đủ kiên nhẫn, kẻ tấn công có thể dễ dàng và âm thầm kiếm lời từ lỗ hổng mà khó có thể bị phát hiện.
Bạn có thể xem thêm bài đăng giải thích của Neodyme để biết chi tiết bản chất lỗ hổng, cách đơn vị nghiên cứu bảo mật phát hiện nó và cách thức tấn công của họ để lợi dụng nó.
As such, we’ve written up a dive into how this vulnerability could have been exploited, and how we found it: https://t.co/vxrAiiPiKj
— Neodyme (@Neodyme) December 3, 2021
Vì nhiều dự án trên Solana đã sử dụng lại Solana Program Library trong bộ mã để chạy ứng dụng mà không kiểm tra, do đó lỗ hổng trên tồn tại độc lập. Qua việc kiểm tra kỹ càng, Neodyme đã xác định được 8 dự án đang chứa lỗi trên, gồm Solend, Tulip, Larix, Port, Acumen, Soda, Jet và Apricot. Tổng lại, các dự án này đang quản lý khối tài sản TVL lên đến 2,6 tỷ USD tính vào đầu tháng 12.
Neodyme sau đó đã liên hệ cả nhóm phát triển Solanan và các dự án để yêu cầu vá lỗ hổng và tính đến ngày 03/12, lỗi trên đã được khắc phục thành công. Toàn bộ sự việc đã được nhận diên và vá chỉ trong vòng 3 ngày, từ 01/12 đến 03/12. Neodyme tiếp đó đã công bố toàn bộ các phát hiện của họ cho cộng đồng.
Lĩnh vực tiền mã hóa chỉ trong năm 2021 đã ghi nhận thiệt hại từ các cuộc tấn công DeFi vượt mức 1,4 tỷ USD, với hàng loạt các sự cố nghiêm trọng như:
- Vụ hack Poly Network (POLY) với tổn thất 611 triệu USD (dù hacker đã trả tiền lại);
- Cream Finance (CREAM) bị tấn công đến 3 lần, để mất hơn 130 triệu USD;
- Compound (COMP) gặp lỗ hổng smart contract và bị bòn rút 148 triệu USD;
- BOY X HIGHSPEED (BXH) bị tấn công và để mất hơn 139 triệu USD;
- Và mới nhất là Badger DAO (BADGER) ghi nhận lỗ hổng giao diện người dùng và bị lợi dụng để rút đến 120 triệu USD tiền mã hóa từ ví người dùng.
Bản thân Solana dù chưa ghi nhận dự án nào bị hack nhưng vào tháng 09/2021 từng gặp một sự cố nghiêm trọng, khiến toàn bộ blockchain “đứng hình” đến tận 18 tiếng đồng hồ.
