Socket, một giao thức tương tác cross-chain, đã công bố thông tin về việc thu hồi 1,032 Ether (ETH) sau sự cố tuần trước khi giao thức cầu nối Bungee của nó bị khai thác. Số tiền được thu hồi tương ứng với ETH trị giá khoảng 2.3 triệu USD, với thiệt hại từ việc khai thác ước tính khoảng 3.3 triệu USD.
Vụ tấn công xảy ra vào ngày 16 tháng 1 và ảnh hưởng đến các ví có số lượng phê duyệt vô hạn đối với các hợp đồng Socket.
Theo công ty bảo mật blockchain PeckShield, Socket đã tạm dừng các hợp đồng bị ảnh hưởng, mặc dù ban đầu ít nhất 3.3 triệu USD đã bị đánh cắp.
PeckShield cho biết việc khai thác là do “xác thực đầu vào của người dùng không đầy đủ, bị khai thác để lấy cắp tiền từ những người dùng đã phê duyệt hợp đồng SocketGateway dễ bị tấn công”.
Công ty bảo mật nói thêm rằng tuyến đường bị khai thác đã được thêm vào ba ngày trước và hiện đã bị vô hiệu hóa.
Theo phân tích từ giám đốc nghiên cứu Steven Zheng của The Block, kẻ tấn công đã khai thác việc phê duyệt quá mức trên nền tảng Socket, tiêu hao tài sản đến giới hạn được phê duyệt của mỗi người dùng.
Người dùng sẽ phải chủ động thu hồi các phê duyệt để tránh bị mất các khoản trợ cấp chưa sử dụng này.
Zheng cho biết cuộc tấn công về cơ bản đã lợi dụng số dư đã được phê duyệt trước mà không bao giờ được cầu nối.
Người dùng có thể tránh bị lợi dụng bằng cách thu hồi các khoản phụ cấp hoặc xóa các phê duyệt không sử dụng.
Mặc dù số tiền bị đánh cắp vẫn chưa được thu hồi, khả năng của Socket lấy lại số Ether trị giá hơn 2 triệu USD chứng tỏ rằng việc khai thác trên các giao thức cầu nối đôi khi chỉ có thể dẫn đến tổn thất vĩnh viễn.
Socket đã hứa sẽ đưa ra kế hoạch phục hồi và phân phối cho người dùng.
Ngành công nghiệp tiền điện tử có rất nhiều hoạt động khai thác và khi tiếp tục xử lý các lỗ hổng ở cấp độ giao thức, các dự án như Socket và lĩnh vực bảo mật hợp đồng thông minh cho thấy các phản hồi và quy trình giảm thiểu đang được cải thiện.
Từ việc tạm dừng hợp đồng đến phối hợp khôi phục, những cải tiến về bảo mật giao thức sẽ là chìa khóa để giảm tác động của các cuộc tấn công này trong tương lai.
Vụ tấn công xảy ra vào ngày 16 tháng 1 và ảnh hưởng đến các ví có số lượng phê duyệt vô hạn đối với các hợp đồng Socket.
Theo công ty bảo mật blockchain PeckShield, Socket đã tạm dừng các hợp đồng bị ảnh hưởng, mặc dù ban đầu ít nhất 3.3 triệu USD đã bị đánh cắp.
PeckShield cho biết việc khai thác là do “xác thực đầu vào của người dùng không đầy đủ, bị khai thác để lấy cắp tiền từ những người dùng đã phê duyệt hợp đồng SocketGateway dễ bị tấn công”.
Công ty bảo mật nói thêm rằng tuyến đường bị khai thác đã được thêm vào ba ngày trước và hiện đã bị vô hiệu hóa.
Theo phân tích từ giám đốc nghiên cứu Steven Zheng của The Block, kẻ tấn công đã khai thác việc phê duyệt quá mức trên nền tảng Socket, tiêu hao tài sản đến giới hạn được phê duyệt của mỗi người dùng.
Người dùng sẽ phải chủ động thu hồi các phê duyệt để tránh bị mất các khoản trợ cấp chưa sử dụng này.
Zheng cho biết cuộc tấn công về cơ bản đã lợi dụng số dư đã được phê duyệt trước mà không bao giờ được cầu nối.
Người dùng có thể tránh bị lợi dụng bằng cách thu hồi các khoản phụ cấp hoặc xóa các phê duyệt không sử dụng.
Mặc dù số tiền bị đánh cắp vẫn chưa được thu hồi, khả năng của Socket lấy lại số Ether trị giá hơn 2 triệu USD chứng tỏ rằng việc khai thác trên các giao thức cầu nối đôi khi chỉ có thể dẫn đến tổn thất vĩnh viễn.
Socket đã hứa sẽ đưa ra kế hoạch phục hồi và phân phối cho người dùng.
Ngành công nghiệp tiền điện tử có rất nhiều hoạt động khai thác và khi tiếp tục xử lý các lỗ hổng ở cấp độ giao thức, các dự án như Socket và lĩnh vực bảo mật hợp đồng thông minh cho thấy các phản hồi và quy trình giảm thiểu đang được cải thiện.
Từ việc tạm dừng hợp đồng đến phối hợp khôi phục, những cải tiến về bảo mật giao thức sẽ là chìa khóa để giảm tác động của các cuộc tấn công này trong tương lai.