Trái với các báo cáo lưu hành trên phương tiện truyền thông xã hội, tiền điện tử gây tranh cãi Tether đã không bị ảnh hưởng bởi một cuộc tấn công chi tiêu gấp đôi.
Câu chuyện đầy đủ đằng sau giao dịch Tether đáng ngờ đó
Đầu tuần này, nhóm nghiên cứu bảo mật blockchain SlowMist đã xác định hoạt động đáng ngờ xung quanh một giao dịch tether cụ thể. Công ty đã xuất bản một bức ảnh mờ của giao dịch thô cùng với đề xuất rằng nó đã được tham gia vào một cuộc chi tiêu gấp đôi thành công chống lại một cuộc trao đổi tiền điện tử. Hiện tại vẫn chưa rõ liệu vụ khai thác này có được thực hiện bởi một hacker mũ đen hay bởi SlowMist như một bằng chứng-khái niệm.
交易所在进行USDT充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段值是否为true,导致“假充值”,用户未损失任何USDT却成功向交易所充值了USDT,而且这些 USDT 可以正常进行交易。
我们已经确认真实攻击发生!相关交易所应尽快暂停USDT充值功能,并自查代码是否存在该逻辑缺陷。 pic.twitter.com/EPzZIsZFzH— SlowMist (@SlowMist_Team) 28 tháng 6, 2018
Nếu giá trị của trường hợp lệ trong các chi tiết giao dịch trên blockchain không được xác nhận, nó sẽ dẫn đến việc “nạp tiền sai”. Người dùng đã không mất bất kỳ USDT nào. USDT và các USDT này có thể giao dịch bình thường. Chúng tôi đã xác nhận rằng một cuộc tấn công thực sự đã xảy ra! Việc trao đổi có liên quan sẽ đình chỉ chức năng nạp tiền USDT càng sớm càng tốt và kiểm tra mã cho sự tồn tại của lỗi hợp lý này.
Như tên cho thấy, một cuộc tấn công chi tiêu gấp đôi xảy ra khi một kẻ tấn công thành công chi tiêu một đồng xu duy nhất hai lần. Nói chung, điều này được thực hiện bằng cách lừa người nhận tin rằng một khoản thanh toán đã xác nhận và sau đó đảo ngược giao dịch đó.
Đáp lại các cáo buộc, các nhà phát triển Omni đã giải thích rằng lỗ hổng không nằm trong giao thức Omni – khi mà Tether chạy – nhưng theo cách thức mà cái tên không được đổi tên xử lý các thanh toán token đến. Rõ ràng, hệ thống tiền gửi của nền tảng không xác minh chính xác cờ hiệu lực của giao dịch đã được đánh dấu là “true” trước khi ghi có tiền gửi vào tài khoản của người dùng, cho phép người gửi gửi cùng một đồng tiền cho nền tảng hai lần.
Mặc dù vậy, điều này không có nghĩa là những Tethers mới được in ra, chỉ rằng kẻ tấn công có thể có khả năng đánh cắp tiền từ ví nóng kết nối internet của trao đổi.
Các khách hàng tham khảo của Omni Layer, Omni Core, không tín dụng bất kỳ thẻ từ giao dịch không hợp lệ, Dựa trên điều tra của chúng tôi đây không phải là một sự kiện định kỳ và không có số tiền lớn bị mất.
$OMNI #OmniLayer Some additional clarification about the @Tether_to /USDT double-spend “vulnerability” pic.twitter.com/oX21CUmI1R
— Omni (@Omni_Layer) 29 tháng 6, 2018
Điều gì xảy ra nếu nó đã là một khoản chi tiêu thực sự?
SlowMist sau đó làm rõ rằng, khi điều tra sâu hơn, phiên bản của sự kiện Omni thực sự là trường hợp. Tuy nhiên, đã có giao dịch thực sự tạo thành một chi tiêu gấp đôi, nó có thể sẽ có những phân nhánh nghiêm trọng hơn rất nhiều so với những người sở hữu Tether.
Tether chạy trên giao thức Omni, mà chính nó là một ứng dụng lớp thứ hai trên mạng Bitcoin (Tether cũng đã được phát hành trên Ethereum, nhưng phần lớn các mã USDT vẫn còn trên Omni). Do đó, việc tung ra một cuộc tấn công chi tiêu gấp đôi vào một tài sản dựa trên Omni như tether sẽ yêu cầu kẻ tấn công chiếm quyền kiểm soát 51% băm Bitcoin, khiến toàn bộ mạng lưới BTC gặp rủi ro.
Hơn nữa, Tether, được gắn với đô la Mỹ với tỷ lệ 1: 1 và được ủng hộ bằng đô la vật lý được lưu trữ trong tài khoản ngân hàng thuộc sở hữu của Tether, đóng vai trò là ủy quyền cho USD trên nhiều trao đổi tiền điện tử. Mã thông báo hiện có khoản vốn hóa thị trường trị giá 2,7 tỷ đô la, biến nó trở thành đồng tiền điện tử lớn thứ chín.
Như chúng tôi đã báo cáo, các cuộc tấn công chi tiêu gấp đôi này đã trở nên phổ biến hơn trong những tháng gần đây, ít nhất là trong số các altcoin nhỏ. Verge, Bitcoin Gold, Monacoin, ZenCash và Litecoin Cash đều bị ảnh hưởng bởi các dạng tấn công này chỉ riêng trong năm 2018.
Vẫn chưa rõ việc trao đổi tiền điện tử nào là dễ bị tổn thương khi khai thác, mặc dù một số – bao gồm cả OKEx – xác nhận rằng hệ thống của họ là miễn dịch.
Nguồn CCN
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.