Dự án blockchain được đánh giá cao của EOS chỉ còn vài ngày là tới thời gian dự kiến phát hành của nó, nhưng nhóm phát triển của nó vẫn đang vá những gì các nhà nghiên cứu bảo mật đã mô tả là “lỗ hổng sử thi” trong codebase của nó.
Công ty bảo mật mạng Qihoo 360 tại Trung Quốc hôm thứ ba đã báo cáo rằng họ đã xác định các lỗ hổng bảo mật cho phép kẻ tấn công sử dụng một hợp đồng thông minh độc hại để kiểm soát “tất cả các nút của mạng EOS” và thao tác các giao dịch theo ý muốn. Kẻ tấn công cũng có thể biến các nút đó thành một botnet thực tế, sau đó chúng có thể sử dụng để khai thác một mạng lưới tiền điện tử khác hoặc thậm chí khởi động một cuộc tấn công mạng.
Trích từ báo cáo:
Kẻ tấn công có thể lấy cắp khóa riêng của các nút hoặc kiểm soát nội dung của các khối mới. Hơn nữa, kẻ tấn công có thể đóng gói hợp đồng độc hại vào một khối mới và xuất bản nó. Kết quả là, tất cả các nút đầy đủ trong toàn bộ mạng sẽ được kiểm soát bởi kẻ tấn công.
Việc tiết lộ lỗ hổng ngay lập tức đưa ra câu hỏi về việc liệu EOS có gửi mã của mình vào đầu tháng 6 theo lịch trình hay không.
Người sáng tạo EOS Block.one chưa giải quyết vấn đề một cách công khai và không phản hồi ngay lập tức yêu cầu nhận xét. Tuy nhiên, các ảnh chụp màn hình đã xuất bản của Qihoo 360 cho thấy nhóm của họ đã liên lạc với nhà phát triển EOS Larimer của EOS, người đã nhanh chóng khắc phục vấn đề trên GitHub.
Anh đã viết:
Nếu bất kỳ xác nhận nào trong số này được kích hoạt trong bản phát hành thì nó không nên được thông qua và nên xoá nó đi. Việc cho phép mã tiếp tục chạy trong bản phát hành là một lỗ hổng bảo mật tiềm năng và có thể dẫn đến sự cố ở nơi khác.
Trong khi đó, Larimer đã công bố một khoản tiền thưởng để giúp các nhà phát triển vá mọi lỗ hổng còn lại trước bản phát hành 1.0 của phần mềm. Các nhà nghiên cứu có thể nhận được 10.000 USD giải thưởng cho một lỗi duy nhất “có thể gây ra sự cố, leo thang đặc quyền hoặc hành vi không xác định trong các hợp đồng thông minh“.
Help us find critical bugs in #EOSIO before our 1.0 release. $10K for every unique bug that can cause a crash, privilege escalation, or non-deterministic behavior in smart contracts. Offer subject to change, ID required, validity decided at the sole discretion of Block One.
— Daniel Larimer (@bytemaster7) May 28, 2018
Giá của EOS đã giảm mạnh sau khi tiết lộ lỗ hỏng, mặc dù nó đã lấy lại được một số thiệt hại kể từ khi Larimer phát hành một bản vá. Hiện tại, EOS đang giao dịch ở mức trung bình toàn cầu là 11,96 đô la, thể hiện mức giảm một phần trăm so với USD nhưng giảm 4% so với ETH.
Nguồn CCN
Theo dõi chúng tôi trên Facebook
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
