Lỗi nghiêm trọng trong Ethereum 2.0 Staking Pools đã được vá một cách an toàn
Lỗ hổng bảo mật khiến các token Ethereum đã đặt cọc gặp rủi ro.
Bài học rút ra chính
- Một lỗ hổng ảnh hưởng đến tiền trong các nhóm đặt cược ETH 2.0 đã được vá an toàn.
- Lỗi được xác định bởi người sáng lập StakeWise Dmitri Tsumak, người đã hợp tác với các giao thức khoanh vùng đối thủ để bảo vệ tiền của người dùng
- Mặc dù việc khai thác đã được vá, các giao thức bị ảnh hưởng vẫn đang làm việc để hướng tới một bản sửa lỗi lâu dài hơn.
Dmitri Tsumak, người sáng lập nền tảng đặt cược ETH 2.0 StakeWise, đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến các đối thủ cạnh tranh đặt cược ETH là Rocket Pool và Lido. Việc khai thác hiện đã được vá, với Rocket Pool và Lido, mỗi người trả cho Tsumak 100.000 đô la tiền thưởng lỗi để xác định vấn đề.
Đã vá lỗi hồ bơi tiền gửi Ethereum
Một lỗ hổng ảnh hưởng đến tiền trong các nhóm đặt cược ETH 2.0 đã được vá an toàn.
Vào cuối buổi tối thứ Hai, người sáng lập StakeWise Dmitri Tsumak đã phát hiện ra một cách khai thác cho phép các nhà khai thác nút lấy tiền khỏi các nhóm đặt cược lỏng ETH 2.0. Ban đầu Tsumak đã xác định việc khai thác trong kiến trúc của Rocket Pool giao thức đặt cược ETH sắp ra mắt. Trong quá trình điều tra sâu hơn, lỗi này cũng được phát hiện là ảnh hưởng đến Lido, nhóm đặt cược ETH 2.0 lớn nhất hiện tại trên Ethereum, với tổng giá trị bị khóa là 4,66 tỷ đô la.
Mặc dù các nhà khai thác nút do Rocket Pool và Lido lựa chọn được tin cậy, nhưng việc khai thác làm nổi bật một lỗ hổng nghiêm trọng trong kiến trúc hợp đồng thông minh quản lý các giao thức. Trong khi lỗi vẫn tồn tại, khoảng 100 ETH tiền của người dùng đang gặp rủi ro.
Sau khi Tsumak báo cáo lỗi bằng cách sử dụng bí danh, nhóm Rocket Pool đã nhanh chóng thông báo cho Lido rằng các khoản tiền trên giao thức của nó cũng đang gặp rủi ro. Đến sáng hôm sau, cả hai giao thức đã thực hiện các biện pháp để đảm bảo an toàn cho tiền của người dùng.
Lỗi được xác định chỉ 24 giờ trước khi Rocket Pool được phát hành trực tuyến trên mạng chính Ethereum; sự ra mắt hiện đã bị hoãn lại.
Rocket Pool và Lido đã triển khai các bản vá tạm thời để đảm bảo tiền của người dùng, nhưng sự cố vẫn chưa được khắc phục hoàn toàn. Cả hai giao thức đều đã đăng ký một quá trình hoạt động và hiện đang làm việc để hướng tới một giải pháp lâu dài hơn cho việc khai thác.
Sau khi sự việc được giải quyết, các bên liên quan đã lên mạng xã hội để thảo luận với cộng đồng của họ về những gì đã xảy ra. Rocket Pool bày tỏ lòng biết ơn đối với Tsumak vì đã báo cáo lỗi này, mặc dù là người sáng lập StakeWise, đối thủ của Rocket Pool.
Trên Twitter, StakeWise giải thích lý do tại sao họ quyết định công khai thông tin khai thác sau khi nó đã được vá, nêu rõ:
“Tại StakeWise, chúng tôi tin rằng ngay cả khi giao dịch với các đối thủ cạnh tranh, chúng ta càng an toàn với nhau hơn, thì toàn bộ hệ sinh thái đặt cược # ETH2 càng trở nên mạnh mẽ hơn. Để đạt được điều này, chúng ta phải giao tiếp và quan sát nhau ”.
Cả Rocket Pool và Lido đã đồng ý trả cho Tsumak 100.000 đô la để xác định vấn đề, số tiền tối đa được nêu chi tiết trong chương trình tiền thưởng lỗi của Lido.
Mặc dù các lỗ hổng trong giao thức DeFi không phải là hiếm, nhưng chúng thường được xác định trước khi tin tặc có thể khai thác chúng. Vào tháng 8, Samzcsun của Paradigm.xyz đã phát hiện ra một lỗ hổng trị giá 350 triệu đô la trong các hợp đồng thông minh MISO của SushiSwap. Việc khai thác đã được xác định và sửa chữa trước khi tin tặc có thể lấy bất kỳ khoản tiền nào. Nhóm Sushi đã trả cho Samzcsun một khoản tiền thưởng trị giá 1 triệu đô la MỹC để anh ấy hỗ trợ xác định và sửa lỗi.
Tuyên bố từ chối trách nhiệm: Tại thời điểm viết tính năng này, tác giả sở hữu BTC, ETH và một số loại tiền điện tử khác.