Báo cáo về lỗ hổng bảo mật đã nhấn mạnh cuộc tấn công có thể sẽ hạ gục Mạng lưới Avalanche.
Một báo cáo về lỗ hổng bảo mật đã được công bố sớm vào hôm nay, đã nêu bật một cuộc tấn công có thể đánh sập toàn bộ Mạng Avalanche, một trong những blockchains Lớp 1 lớn nhất.
Lỗ hổng bảo mật được phát hiện lần đầu tiên bởi Peter Szilagyi, trưởng nhóm Ethereum vào ngày 29 tháng 3. Tại thời điểm phát hiện, Avalanche có tổng giá trị bị khóa (TVL) hơn 9 tỷ đô la và vốn hóa thị trường khoảng 24 tỷ đô la, theo DeFi Llama và Coingecko. Vấn đề này sau đó đã được vá.
Ava Labs từ chối bình luận về câu chuyện này.
Báo cáo do Szilagyi phát hành đã đưa ra một mốc thời gian của các sự kiện xảy ra trước khi phát hành công khai, cũng như các chi tiết liên quan đến lỗ hổng bảo mật.
Khi Szilagyi phát hiện ra lỗ hổng vào ngày 29 tháng 3, anh ấy đã đề nghị với Avalanche rằng họ sẽ thông qua một bản vá để sửa nó. Nhóm nghiên cứu đã phản hồi nhanh chóng, và lỗ hổng bảo mật cũng được vá ngay trong ngày hôm đó.
Lỗ hổng bảo mật là “sự cố node từ xa thông qua gói PeerList độc hại”, Szilagyi nói. Nôm na là, ai đó đã nạp vào một node Avalanche khoảng 179.000 USD để gửi các gói PeerList độc hại (được sử dụng để liên lạc mạng lưới) đến các node khác và gỡ mạng xuống một cách hiệu quả.
Kẻ tấn công cũng có thể đã chọn khởi chạy một node không xác thực (chỉ được kết nối với validator thay vì tất cả các node trong mạng), cho ra kết quả tương tự nhưng sẽ mất nhiều thời gian hơn.
Szilagyi cũng đã cung cấp thêm thông tin chi tiết, “Avalanche rất thoải mái trên các kết nối mạng mà họ tạo ra, và ngay cả một kết nối duy nhất cũng đủ để hạ gục một node. Vì tất cả các node trong mạng đều kết nối với tất cả các trình xác thực, nên đó là một cái chết tương đối cho toàn bộ mạng”, ông nói thêm.
Szilagyi cho biết trong trường hợp kẻ tấn công tài trợ cho một trình xác thực mới để thực hiện cuộc tấn công này, họ sẽ chọn bán khống token AVAX ngay cả với chi phí trả trước là 179.000 đô la.
Điều này là do “dù sao thì mạng cũng sẽ phục hồi sau vài giờ nên không có giá trị lâu dài nào bị mất trong trình xác thực độc hại”, Szilagy nói trong báo cáo của mình.
Cùng theo dõi Coinmoi để cập nhật những tin tức thị trường, kiến thức đầu tư cũng như những bài review dự án chất lượng nhé!
(Coinmoi Dịch và Tổng hợp theo theblock.co).