Có quá nhiều lỗ hổng, blockchain trị giá 10 tỷ USD EOS trở thành mỏ vàng cho các nhà nghiên cứu bảo mật

Sau nhiều tranh cãi và trì hoãn, cuối cùng blockchain EOS đã ra mắt vào ngày 10 tháng Sáu vừa qua. Hiện tại, mức giá trị vốn hóa của đồng tiền mã hóa này đã đạt hơn 10 tỷ USD, và tính đến ngày 31 tháng Năm, startup Block.one, công ty phát triển blockchain EOS này, đã huy động được 4,1 tỷ USD vốn đầu tư. Nhưng các phát hiện bảo mật cho thấy, chuỗi blockchain này vẫn phải đang vật lộn với các lỗ hổng của mình.

Guido Vranken, nhà nghiên cứu bảo mật gần đây giành được 120.000 USD trong chương trình tiền thưởng khi phát hiện lỗi, đã khám phá ra một lỗ hổng khác trong EOS. Nhưng đáng ngại hơn khi anh không phải là người duy nhất phát hiện ra những nút thắt mới trong mạng lưới.

Vranken cho biết lỗi mà anh mới phát hiện ra phải thực hiện cùng với “phép đệ quy không hạn định trong phân tích cú pháp Binaryen WASM”.

Đối với những người thấy lạ lẫm về vấn đề này, phép đệ quy không hạn định xảy ra khi một hàm số tự gọi lên từ bên trong vào một vòng lặp vô tận – cho đến khi máy tính cạn kiệt tài nguyên và... chết. Điều này có nghĩa là nếu bất kỳ ai nỗ lực biên dịch sang Web Assembly bằng cách sử dụng bộ biên dịch Binaryen, máy tính của họ có thể bị “tiêu tùng.”

Hồ sơ của Block.one trên trang HackerOne cho thấy rằng Vranken đã được trả 100.000 USD cho 10 lỗ hổng khác nhau.

Vranken không chắc rằng liệu EOS còn có lỗi nào khác nữa không. Nhưng rõ ràng nó cho thấy rằng các nhà nghiên cứu khác vẫn đang nhận được tiền thưởng vì phát hiện ra lỗi – lần gần đây nhất mới chỉ từ ngày hôm qua vào thời điểm viết bài.

Danh sách những người nhận được tiền thưởng nhờ phát hiện lỗi trong EOS.

Vào tháng Năm vừa qua, hãng bảo mật Trung Quốc Qihoo 360 đã phát hiện ra một series lỗ hổng trong EOS. Các sự cố này có thể cho phép hacker truy cập từ xa vào các node trong mạng lưới, và làm tổn thương toàn bộ blockchain EOS.

Hệ quả của hàng loạt phát hiện này là việc chương trình thưởng tiền phát hiện lỗi được khởi động, và chuỗi blockchain này đã phải trì hoãn đáng kể việc ra mắt so với dự định ban đầu là ngày 2 tháng Sáu.

Một điều cũng cần chú ý rằng blockchain EOS hiện đang mắc kẹt vào trạng thái "sống dở chết dở" giữa việc ra mắt và đi vào hoạt động. Blockchain này cuối cùng cũng đã ra mắt vào ngày 10 tháng Sáu vừa qua sau khi nhận được một phiếu bầu đồng ý “đi” từ các ứng cử viên sản xuất khối, nhưng đó là chỉ về mặt kỹ thuật.

Đồng tiền mã hóa EOS sẽ còn bị khóa cho đến khi 21 các ứng cử viên sản xuất khối được chọn ra. Như sàn Coindesk chỉ ra, ít nhất 15% lượng cung toàn bộ EOS cần được đặt cho các ứng cử viên sản xuất khối được chọn. Đã nhiều ngày sau khi ra mắt, việc bỏ phiếu vẫn chưa vượt quá 10%.

Đặt cược số coin này sẽ đòi hỏi các nhà đầu tư sử dụng khóa riêng của họ, điều có thể làm họ cảm thấy có rủi ro tiềm năng cho khoản đầu tư của mình. Việc tiết lộ nhầm các khóa riêng này có thể làm họ mất toàn bộ số vốn của mình.

Rõ ràng cơn ác mộng mainnet (mạng chính thức) EOS vẫn chưa chấp nhận kết thúc.

Tham khảo The Next Web