Báo cáo: 43 lỗ hổng phần mềm được phát hiện trong các nền tảng giao dịch lớn

Mười ba công ty liên quan đến tiền điện tử và blockchain đã nhận được báo cáo về 43 lỗ hổng khác nhau trong tháng qua – theo một cuộc điều tra được thực hiện bởi các nhà nghiên cứu bảo mật.

Từ ngày 13 tháng 2 đến ngày 13 tháng 3, hơn 40 lỗi phần mềm đã được phát hiện và báo cáo cho Hacker One, một nền tảng vạch trần lỗ hổng. Theo báo cáo, nhiều loại lỗ hổng khác nhau đã được tìm thấy trong một số mạng lưới tiền điện tử lớn nhất thế giới, bao gồm Brave, Coinbase, EOS, Monero (XMR) và Tezos.

Nhóm hacker Mũ trắng tìm thấy một số lỗ hổng trong OmiseGo, Unikrn

Unikrn, một nền tảng đánh bạc Esports đã phát hành đồng tiền điện tử riêng có tên là Unikoin Gold, có số lượng lỗ hổng lớn nhất trong số tất cả các công ty blockchain. Có 12 lỗi phần mềm khác nhau được phát hiện trong mã nguồn Unikrn. Trong khi đó, nền tảng OmiseGo (OMG), nhằm mục đích cho phép hỗ trợ tài chính và khả năng tương tác thông qua mạng OMG phi tập trung và công khai, có ít nhất sáu trục trặc phần mềm (theo báo cáo của nhóm hacker mũ trắng).

EOS, một trong những nền tảng lớn nhất thế giới trong việc tạo các ứng dụng phi tập trung (dApps), có năm lỗ hổng khác nhau bị phát hiện bởi hacker trong 30 ngày qua. Vào ngày 12 tháng 3, công ty an ninh mạng Trung Quốc, SlowMist đã phát hiện ra một lỗ hổng bảo mật “nạp tiền giả”, có khả năng bị khai thác bởi những kẻ tấn công khi mà họ “có thể gửi tiền thành công EOS vào các nền tảng này mà không cần chuyển bất kỳ EOS nào.” Theo ghi nhận của các nhà nghiên cứu SlowMist, các sàn giao dịch và ví tiền điện tử hỗ trợ EOS có thể bị ảnh hưởng bởi lỗi nạp tiền giả.

Các lỗ hổng được phát hiện trong Tezos, Monero, ICON, MyEtherWallet

Nhóm hacker Mũ trắng cũng tìm thấy bốn lỗi phần mềm trong Tendermint, giao thức mạng ngang hàng (P2P) và thuật toán đồng thuận blockchain. Nền tảng thị trường dự đoán phi tập trung, Augur (REP) và Tezos, một mạng lưới tiền điện tử và blockchain tự sửa đổi, dành cho việc triển khai dApps, có ít nhất ba lỗ hổng trong các cơ sở mã hóa tương ứng của chúng.

Monero (XMR), một nền tảng tiền điện tử định hướng bảo mật hàng đầu, ICON (ICX), một nền tảng giúp tạo điều kiện cho khả năng tương tác blockchain và MyEtherWallet, mỗi nền tảng có hai lỗ hổng – mà nhóm hacker Mũ trắng đã báo cáo (từ ngày 13 đến ngày 13 tháng 3) .

Sàn giao dịch tiền điện tử có trụ sở tại San Francisco, Coinbase, Crypto.com, Electroneum và Brave, tất cả đều có các lỗi phần mềm khác nhau với khả năng nghiêm trọng, nhóm hacker Mũ trắng lưu ý.

$23,675 được bàn giao dưới dạng bồi thường cho việc xác định vị trí lỗi phần mềm

Đáng chú ý, một số lỗ hổng phần mềm được phát hiện có thể không liên quan trực tiếp đến các vấn đề với nền tảng blockchain và tiền điện tử thực tế. Chẳng hạn, phần mềm trình duyệt Brave không hoàn toàn phân cấp và một số lỗ hổng nhất định có thể xuất hiện trong ví hỗ trợ của nền tảng, hoặc các ứng dụng bên thứ ba khác trong đó không phải do nhà phát triển của Brave tạo ra.

Các nhà nghiên cứu bảo mật chỉ nhận được tổng cộng 23.675 đô la khi tìm thấy các lỗ hổng phần mềm trong các mạng lưới tiền điện tử và blockchain hàng đầu này.

Các nhà phát triển phần mềm Tendermint, (được sử dụng bởi sàn giao dịch phi tập trung mới ra mắt của Binance), đã trả tổng cộng $ 8,500 cho các chuyên gia bảo mật, những người đã phát hiện ra các lỗ hổng trong codebase của nền tảng của họ.

Chỉ có $1,375 trong tổng số tiền thưởng được trao bởi Unikrn

Đội ngũ phát triển của EOS, đã trả tổng cộng 5.500 đô la cho các nhà phát triển đã tìm thấy lỗi trong phần mềm của mạng lưới tiền điện tử. Trong khi đó, nhóm Unikrn chỉ đưa ra 1.375 đô la cho các nhà nghiên cứu vì đã tìm thấy các lỗ hổng trong codebase của nền tảng của họ.

Đáng chú ý, hầu hết các báo cáo lỗ hổng được giữ bí mật vì chúng không được công khai. Tuy nhiên, tiền thưởng tương đối thấp được đưa ra cho thấy các lỗ hổng bảo mật có thể không nghiêm trọng.

Block.one có trụ sở tại Quần đảo Cayman, nhà phát triển ban đầu của EOS, tiết lộ rằng bốn (trong tổng số năm) lỗi phần mềm được tìm thấy trong code liên quan đến EOS là do sự cố tràn bộ đệm. Lỗ hổng này có khả năng cho phép kẻ tấn công bơm các tập lệnh độc hại vào mã nguồn liên quan đến EOS. Theo Block.one, những vấn đề này hiện đã được giải quyết.

• Trezor phản bác báo cáo của đối thủ Ledger về lỗ hổng trong ví phần cứng
• Đội ngũ Bitcoin SV khắc phục các lỗ hổng nghiêm trọng cho Blockchain Bitcoin

Diệu Anh

Theo Tapchibitcoin.vn/Cryptoglobe