3Theo một phân tích ngày 9 tháng 2 được chia sẻ trên X (Twitter), công ty bảo mật Web3 Blowfish đã phát hiện hai drainer (rút tiền) Solana mới có thể thực hiện các cuộc tấn công *bit-flip.
*Bit flip (tạm dịch: bit đi lạc) là thuật ngữ miêu tả hiện tượng xảy ra khi một bit bất kỳ trong chương trình máy tính đột ngột thay đổi trạng thái – từ “0” thành “1” hoặc ngược lại – do tác động môi trường nằm ngoài kiểm soát của phần mềm.
Các drainer, được gọi là ‘Aqua’ và ‘Vanish’, đã được gắn cờ sửa đổi một điều kiện trong dữ liệu onchain, ngay cả sau khi khóa riêng của người dùng được sử dụng để ký giao dịch. Theo Blowfish, kịch bản của drainer được cung cấp với một khoản phí trên các thị trường cung cấp công cụ scam-as-a-service (scam như một dịch vụ).
Nhóm Blowfish đã mổ xẻ phương pháp bit-flip và đánh cắp tiền của drainer.
Trên Solana, một dApp có thể được trao quyền gửi giao dịch. Nếu chương trình onchain của dApp bao gồm một điều kiện cho phép nó gửi SOL cho người dùng hoặc rút tài khoản của họ, thì một drainer có thể lật ngược điều kiện đó bất cứ lúc nào,” phân tích viết.
Ban đầu, các drainer không được người dùng chú ý. Nạn nhân ký những gì có vẻ là một giao dịch hợp lệ. Tuy nhiên, sau khi nhận được chữ ký, drainer tạm thời giữ lại giao dịch.
Ngày càng nhiều drainer tiền điện tử đã nhắm mục tiêu vào hệ sinh thái Solana. Theo Chainalysis, một trong những cộng đồng trực tuyến lớn nhất dành riêng cho bộ công cụ drainer ví Solana đã có hơn 6.000 thành viên tính đến tháng 1. Brian Carter, nhà phân tích tình báo cấp cao của Chainalysis, trước đó nói rằng bộ công cụ drainer thành công nhất có thể nhắm mục tiêu vào nhiều tài sản theo nhiều cách khác nhau.
*Bit flip (tạm dịch: bit đi lạc) là thuật ngữ miêu tả hiện tượng xảy ra khi một bit bất kỳ trong chương trình máy tính đột ngột thay đổi trạng thái – từ “0” thành “1” hoặc ngược lại – do tác động môi trường nằm ngoài kiểm soát của phần mềm.
Các drainer, được gọi là ‘Aqua’ và ‘Vanish’, đã được gắn cờ sửa đổi một điều kiện trong dữ liệu onchain, ngay cả sau khi khóa riêng của người dùng được sử dụng để ký giao dịch. Theo Blowfish, kịch bản của drainer được cung cấp với một khoản phí trên các thị trường cung cấp công cụ scam-as-a-service (scam như một dịch vụ).
Nhóm Blowfish đã mổ xẻ phương pháp bit-flip và đánh cắp tiền của drainer.
Trên Solana, một dApp có thể được trao quyền gửi giao dịch. Nếu chương trình onchain của dApp bao gồm một điều kiện cho phép nó gửi SOL cho người dùng hoặc rút tài khoản của họ, thì một drainer có thể lật ngược điều kiện đó bất cứ lúc nào,” phân tích viết.
Ban đầu, các drainer không được người dùng chú ý. Nạn nhân ký những gì có vẻ là một giao dịch hợp lệ. Tuy nhiên, sau khi nhận được chữ ký, drainer tạm thời giữ lại giao dịch.
Ngày càng nhiều drainer tiền điện tử đã nhắm mục tiêu vào hệ sinh thái Solana. Theo Chainalysis, một trong những cộng đồng trực tuyến lớn nhất dành riêng cho bộ công cụ drainer ví Solana đã có hơn 6.000 thành viên tính đến tháng 1. Brian Carter, nhà phân tích tình báo cấp cao của Chainalysis, trước đó nói rằng bộ công cụ drainer thành công nhất có thể nhắm mục tiêu vào nhiều tài sản theo nhiều cách khác nhau.