Tin tức Gate, ngày 17 tháng 3, nhà nghiên cứu an ninh tiền điện tử al_f4lc0n công khai cáo buộc dự án blockchain Injective trong quá trình xử lý lỗ hổng an ninh lớn đã gặp phải vấn đề chậm trễ trong giao tiếp và tranh cãi về thưởng. Lỗ hổng này được cho là từng đe dọa an toàn hơn 5 tỷ USD tài sản trên chuỗi, gây ra nghi vấn về quản trị an ninh của dự án.
Theo thông tin tiết lộ, lỗ hổng bắt nguồn từ thiếu sót trong cơ chế xác thực tài khoản phụ, kẻ tấn công có thể thực hiện giao dịch thay mặt cho tài khoản người khác mà không cần quyền hạn. Cụ thể, kẻ tấn công có thể tạo token giả và xây dựng cặp giao dịch với USDT, thao túng lệnh thị trường để buộc tài khoản nạn nhân mua vào tài sản vô giá trị với giá bất thường, từ đó chuyển tiền đến địa chỉ kiểm soát của mình, rồi sau đó chuyển qua chuỗi khác sang mạng Ethereum.
al_f4lc0n đã đăng tải báo cáo kỹ thuật đầy đủ trên GitHub, cho biết lỗ hổng này khi được phát hiện đã ảnh hưởng đến toàn bộ số tiền trên chuỗi, quy mô rủi ro vượt quá 5 tỷ USD. Hiện tại, thiệt hại tiềm năng đã được xác nhận khoảng 280 triệu USD, phần lớn liên quan đến token INJ. Trong báo cáo, ông thẳng thắn nói rằng lỗ hổng này “hầu như cho phép rút tiền của bất kỳ tài khoản nào một cách trực tiếp.”
Về vấn đề thưởng, tranh cãi càng thêm gay gắt. Nhà nghiên cứu này cho biết, sau khi sửa lỗi, dự án đã không phản hồi trong suốt ba tháng, sau đó chỉ nhận được phần thưởng 50.000 USD, thấp hơn nhiều so với mức thưởng tối đa 500.000 USD mà nền tảng đã công bố trước đó, và đến nay vẫn chưa thực sự thanh toán.
Thông tin công khai cho thấy, Injective từng thiết lập cơ chế thưởng lớn qua nền tảng bug bounty để khuyến khích các nhà nghiên cứu an ninh tiết lộ các lỗ hổng quan trọng. Tuy nhiên, vụ việc lần này đã khiến quá trình phản ứng và cơ chế khuyến khích của họ bị đặt dấu hỏi.
Tính đến thời điểm bài viết, các cáo buộc vẫn chưa nhận được phản hồi chính thức từ phía dự án. Các chuyên gia trong ngành nhận định, khi quy mô tài sản trên DeFi và chuỗi ngày càng mở rộng, cơ chế tiết lộ lỗ hổng, hiệu quả phản ứng và minh bạch trong thanh toán thưởng đang trở thành các tiêu chí quan trọng để đánh giá độ an toàn và độ tin cậy của các dự án blockchain. (Protos)
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Quỹ Solana Hỗ trợ Aave thông qua Đóng góp USDT
Quỹ Solana Foundation đã công bố rằng họ sẽ đóng góp USDT cho nền tảng Aave lần đầu tiên, như một phần của các nỗ lực phục hồi sau cuộc khủng hoảng rsETH liên quan đến KelpDAO trong hệ sinh thái DeFi. Lily Liu, Chủ tịch của Solana Foundation, cho biết rằng sự hỗ trợ này nhằm củng cố cả Aave và
CryptoFrontier1giờ trước
Pavel Durov nói phí TON sẽ giảm 6 lần, nhắm tới chi phí gần bằng 0
TON giảm phí giao dịch sáu lần xuống gần như bằng 0, chuyển sang định giá cố định không phụ thuộc vào tình trạng tắc nghẽn mạng.
Nâng cấp giúp tăng tốc độ và độ hoàn tất, cho phép các giao dịch nhanh hơn, rẻ hơn so với Ethereum, Bitcoin và Solana.
Chi phí thấp hơn hỗ trợ vi giao dịch (microtransactions) và các ứng dụng,
CryptoFrontNews2giờ trước
Thỏa thuận cho vay DeFi trên Sui bị tấn công; lỗ hổng trong hợp đồng phiên bản cũ khiến 150.000 SUI bị đánh cắp
Scallop bị tấn công trên chuỗi Sui, hợp đồng phụ liên quan đến pool phần thưởng sSUI bị lợi dụng, khoảng 150.000 SUI bị đánh cắp, hợp đồng cốt lõi vẫn an toàn, việc gửi tiền và rút tiền đã được khôi phục. Tuyên bố chính thức chỉ áp dụng cho hợp đồng phần thưởng đã bị loại bỏ, tiền của người dùng không bị ảnh hưởng. Cựu nhà phát triển NEAR Vadim cho biết nguồn gốc lỗ hổng bắt nguồn từ gói V2 phiên bản cũ cách đây 17 tháng, không khởi tạo last_index dẫn đến tích lũy phần thưởng từ năm 2023; việc khắc phục cần thêm một trường phiên bản khi đưa vào object dùng chung và tăng cường kiểm tra phiên bản, để tránh rủi ro do các gói phiên bản lỗi thời gây ra.
ChainNewsAbmedia2giờ trước
JPMorgan: Token hóa sẽ biến đổi ngành quỹ, nhưng 'các trường hợp sử dụng phù hợp' sẽ còn nhiều năm nữa
Theo một bài đăng từ thứ Sáu, Ciarán Fitzpatrick, giám đốc toàn cầu về sản phẩm ETF và dịch vụ chứng khoán của JPMorgan, cho biết token hóa sẽ thúc đẩy sự thay đổi trên toàn bộ ngành quỹ. Fitzpatrick nhận xét rằng trong khi việc thử nghiệm token hóa các ETF vẫn đang diễn ra, ngân hàng ước tính rằng nó sẽ là “a
CryptoFrontier3giờ trước
Aave, Kelp, LayerZero Đề Xuất Giải Phóng $71M Trong ETH Bị Đóng Băng Để Hỗ Trợ Phục Hồi rsETH
Tin tức Gate, 26 tháng 4 — Một liên minh các giao thức DeFi lớn do Aave Labs dẫn đầu, với sự tham gia của Kelp DAO, LayerZero, EtherFi và Compound, đã đệ trình một Constitutional AIP vào sáng thứ Bảy, đề nghị Arbitrum DAO giải phóng khoảng $71 triệu ETH bị đóng băng để hỗ trợ DeFi United, một nỗ lực cứu trợ liên-giao thức
GateNews5giờ trước
Scallop Phát Hiện Lỗ Hổng Quỹ Phần Thưởng sSUI, Bị Lỗ 150K SUI Nhưng Cam Kết Bồi Thường Đầy Đủ
Tin tức Gate News, 26 tháng 4 — Scallop, một giao thức cho vay trong hệ sinh thái Sui, đã công bố việc phát hiện một lỗ hổng trong một hợp đồng phụ liên quan đến quỹ phần thưởng sSUI của mình, dẫn đến thiệt hại xấp xỉ 150.000 SUI. Hợp đồng bị ảnh hưởng đã bị đóng băng, và Scallop xác nhận
GateNews7giờ trước
