Một số nhà nghiên cứu thuộc các trường đại học đã công bố một phân tích làm sáng tỏ “lỗ hổng tiền gửi giả” trong các smart contract thuộc nền tảng Ethereum. Các phát hiện cho thấy hơn 7.000 token ERC20 trị giá hơn 1 tỷ USD dễ bị hai loại tấn công khai thác smart contarct.
Bản báo cáo đã được các nhà nghiên cứu từ Đại học Queensland, Đại học Bưu chính Viễn thông Bắc Kinh, Đại học Chiết Giang và Đại học Bắc Kinh xuất bản.
Về cơ bản, các token được tạo có các phương thức xác minh tiêu chí phụ của hợp đồng ERC20 được phát hành sau năm 2017. Lỗ hổng bảo mật cho phép cơ sở mã của token bị thao túng và hacker có thể dễ dàng đánh cắp hàng triệu đô la bằng cách thực hiện “lỗ hổng tiền gửi giả”.
Điều tồi tệ hơn là có hơn 25 triệu smart contract được xây dựng bằng mạng Ethereum và các nhà nghiên cứu cho biết chỉ “0,36% trong số đó đã phát hành mã nguồn theo tập dữ liệu.”
Hơn nữa, báo cái chỉ ra rằng các token cũng dễ bị tổn thương trên cả sàn giao dịch phi tập trung (dex) và sàn giao dịch tập trung (cex) vì chúng cho phép các coin này được swap “mà không cần xác minh toàn diện”.
Các nhà nghiên cứu đã tận dụng một công cụ được gọi là “Deposafe”, cho phép thử nghiệm một số lượng lớn các smart contract dựa trên ETH.
Trích từ bản báo cáo:
Trong báo cáo này, chúng tôi đã mô tả một cách có hệ thống về lỗ hổng tiền gửi giả trong Ethereum. Deposafe, một công cụ tự động được đề xuất để thực hiện việc phát hiện và xác minh lỗ hổng bảo mật.
Chúng tôi đã chứng minh hiệu quả của Deposafe bằng các thử nghiệm trên một số lượng lớn các smart contract. Theo quan sát, chúng tôi thấy được có sự phổ biến lỗ hổng tiền gửi giả trong các smart contract ERC20.
Các nhà điều tra phát hiện ra rằng 7.735 token có thể bị ảnh hưởng bởi lỗ hổng tiền gửi giả bằng cách sử dụng “Type-I attack” và 7.716 token dễ bị “Type-II attack”.
Số lượng người nắm giữ và giao dịch lần lượt là 695 nghìn và 4.6 triệu
Bài báo cũng xác định các nền tảng dex có hoạt động giao dịch hàng ngày cao có thể bị tấn công gồm: Ether Delta, DDEX và IDEX. Ngoài ra, các sàn giao dịch tập trung (cex) gồm Kraken, Binance và Coinbase cũng không thoát khỏi tình trạng tương tự.
Bài báo nhấn mạnh:
Nếu một cex cho phép các token này được giao dịch mà không cần xác minh toàn diện, thì tổn thất tài chính sẽ rất lớn
Các nhà nghiên cứu nói rằng những thông tin mà họ đã cung cấp có thể “góp phần nâng cao nhận thức của nhà phát triển” và hy vọng “thúc đẩy việc tạo ra các phương pháp hoạt động tốt nhất trên các blockchain”.
Các loại token ERC20 được cho là dễ bị khai thác tiền gửi giả gồm BRC, PWR, BAT, HPT, Cloudbric, RPL, Moviecredits, v.v.
Có thể bạn quan tâm:
