TIN SỰ KIỆN

31 triệu USD tiền ảo Ether bị đánh cắp: Vụ trộm xảy ra và được ngăn chặn như thế nào?

Haddaway

Haddaway 25/07/2017

Tuần trước, một nhóm hacker không rõ tên tuổi đã gây ra vụ trộm lớn thứ hai trong lịch sử các đồng tiền điện tử. Chúng đã làm thế nào? 

Các hacker đã khai thác một lỗ hổng nghiêm trọng trên Parity, một loại ví điện tử đa chữ ký trên Ethereum, đánh cắp 3 tài khoản tiền Ether có giá trị lên đến 31 triệu USD chỉ trong vài phút. Nếu có thêm vài giờ nữa, chúng có thể đã cuỗm sạch hơn 150 triệu USD trong những ví có lỗ hổng khác. Nhưng ai đó đã chặn chúng lại.

Nhận được cảnh báo, một nhóm hacker mũ trắng từ cộng đồng Ethereum nhanh chóng được tập hợp. Qua phân tích, họ cho rằng không có cách nào để hoàn lại tiền trong các tài khoản đã bị trộm. Và họ quyết định tấn công những ví tiền điện tử có lỗ hổng an ninh còn lại trước khi kẻ tấn công chưa rõ danh tính kia làm điều đó.

Bằng cách khai thác cùng một lỗ hổng, nhóm hacker mũ trắng đã "trộm" sạch tiền trong tài khoản và giữ lại số tiền lên đến 77 triệu USD.

Để ngăn kẻ tấn công trộm thêm tiền, các hacker mũ trắng đã viết một phần mềm "đánh cắp" tất cả số tiền còn lại. Sau khi số tiền được "trộm an toàn", họ trả lại cho các chủ tài khoản.

Sự việc này sau đó được xác định là do một lỗ hổng trên mã hợp đồng thông minh (smart contract code). Có 3 đối tượng liên quan đến vụ việc: Ethereum, hợp đồng thông minh và ví điện tử.

Ethereum là một loại tiền kỹ thuật số được giới thiệu lần đầu tiên năm 2013, 4 năm sau khi có Bitcoin. Sau đó, Ethereum trở thành đồng tiền kỹ thuật số có giá trị vốn hoá thị trường lớn thứ 2 trên thế giới với 20 tỉ USD (Bitcoin là 40 tỉ USD).

Ethereum phát triển dựa trên thiết kế của Bitcoin. Bitcoin sử dụng blockchain để ghi chép các giao dịch tiền mặt, còn Ethereum sử dụng blockchain để ghi lại các biến đổi trạng thái trên một máy tính phân tán khổng lồ. Phần mềm Ethereum trên máy (EVM) được thiết kế theo ngôn ngữ Turing Complete.

 

Hợp đồng thông minh, hiểu một cách đơn giản, chính là những chương trình máy tính chạy trên EVM. Ở rất nhiều điểm, chúng cũng giống các hợp đồng thông thường, ngoại trừ việc không cần đến luật sư hay quan toà.

Các hợp đồng thông minh được biên dịch theo bytecode và được giải thích rõ ràng bằng EVM. Với những chương trình này, bạn có thể tự động chuyển tiền ảo dựa trên các quy định của mã hợp đồng.

Có nhiều loại ví tiền ảo khác nhau với những tính năng bảo mật khác nhau. Một trong những ví tiền ảo phổ biến nhất là ví đa chữ ký. Một ví đa chữ ký có nhiều khóa bí mật để mở. Nếu ví có 3 khóa, bạn phải xác thực ít nhất 2 trong 3 khóa mới có thể mở ví. Đây cũng chính là loại ví điện tử bị tấn công trong vụ của Ethereum.

Cách tấn công đơn giản đến mức khó tin khi hacker tìm thấy một lỗ hổng trong code do lỗi của lập trình viên. Lỗ hổng cho phép hacker khởi tạo lại ví, gần giống với việc khôi phục lại cài đặt gốc. Khi đã thành công, hacker hoàn toàn có thể trở thành chủ sở hữu mới rồi lấy đi mọi thứ mà không gặp bất kỳ trở ngại nào.

 

Thực tế có 2 lỗ hổng. 2 phương thức initWallet và initMultiowned trên thư viện chia sẻ đã không được đánh dấu nội bộ và cũng không được kiểm tra việc tài khoản ví thực ra vẫn chưa được khởi tạo. Chỉ cần một trong hai việc này được thực hiện thì cuộc tấn công đã không xảy ra.

Lỗ hổng thứ hai nằm ở hướng dẫn delegateCall. Hacker đã tận dụng các lỗ hổng để cuỗm sạch số tiền trong 3 tài khoản ví điện tử nhiều tiền nhất chúng tìm thấy. Dựa vào thời gian giao dịch, có thể thấy chúng đã làm việc này một cách thủ công.

Các hacker mũ trắng cũng đã làm việc đó bằng script. Nhờ vậy đã kịp ngăn kẻ tấn công lấy tiền trong các ví điện tử còn lại. 

Các chuyên gia cho rằng, vấn đề không nằm ở chỗ các lập trình viên quên đánh dấu nội bộ trên thư viện ví điện tử, cũng không phải ở việc họ thực hiện lệnh gọi delegateCall mà không kiểm tra phương thức. Vấn đề nằm ở chỗ các công cụ lập trình họ sử dụng đã xảy ra lỗi.

Hầu hết những lập trình viên tham gia vào mảng blockchain này đều có nền tảng là các lập trình viên web. Vấn đề là, lập trình blockchain với lập trình web về cơ bản là khác nhau.

Cuộc tấn công lớn thứ hai trong lịch sử tiền ảo này đã thức tỉnh các công ty tiền ảo và người sử dụng quan tâm hơn đến an ninh, buộc các lập trình viên nghiêm túc hơn với các hợp đồng thông minh.

Theo Vnreview


Nội dung liên quan:

>> Bất chợt tìm ra cách "trộm" tài khoản Facebook không thể đơn giản hơn

>> Lỗ hổng bảo mật iPhone khi kết nối Wi-Fi có thể khiến bạn bị tin tặc "làm gỏi"

>> "Đột nhập" trụ sở 5 công ty khai thác Bitcoin lớn nhất thế giới


TIN LIÊN QUAN

Tại sao những người nổi tiếng không bao giờ cho chữ ký bằng bút mực xanh?

Tại sao những người nổi tiếng không bao giờ cho chữ ký bằng bút mực xanh? Câu trả lời cho điều này trở nên hữu ích không chỉ đối với những người nổi tiếng mà còn đối với chúng ta.

Fanpage "nhà đài" bị hack: "Đây có thể là chiến lược truyền thông của triều đình?"

Fanpage "nhà đài" bị hack: "Đây có thể là chiến lược truyền thông của triều đình?"

Thông tin về fanpage Trung tâm Tin tức VTV24 bị hacker ghé thăm được chia sẻ rầm rộ trên nhiều diễn đàn mạng xã hội

Bí quyết nâng cấp Tinder Gold 12 tháng với phí 0 đồng khiến cộng đồng Tinder phải “khóc thét” vì vui mừng

Bí quyết nâng cấp Tinder Gold 12 tháng với phí 0 đồng khiến cộng đồng Tinder phải “khóc thét” vì vui mừng

Nếu biết bí quyết này sớm hơn, có lẽ đã có nhiều hơn nữa những “mảnh ghép” cô đơn tìm thấy nửa kia của mình. Nhưng sẽ là không muộn nếu trùm thính Tinder bỏ túi ngay bí quyết dưới đây, dễ dàng nâng cấp Tinder Gold lên tới 1 năm hoàn toàn miễn phí.

Bí quyết tận hưởng hè cực đã với loạt voucher trà sữa, thẻ game 0 đồng

Bí quyết tận hưởng hè cực đã với loạt voucher trà sữa, thẻ game 0 đồng

Chào hè, Ví VTC Pay bất ngờ tổ chức sự kiện:“Thanh toán Google Play qua VTC Pay - nhận ngay ngàn quà khủng”. Qua đó, loạt voucher đồ uống siêu hot cùng loạt thẻ game 0đ đang nhận được sự trông ngóng của giới trẻ hơn cả.

Hà Nội: Đề nghị Công an điều tra đối tượng tấn công phần mềm thi trực tuyến

Hà Nội: Đề nghị Công an điều tra đối tượng tấn công phần mềm thi trực tuyến

Sở GD&ĐT Hà Nội đã có công văn đề nghị Công an TP Hà Nội điều tra, xác minh, xử lý đối tượng tấn công hệ thống đường truyền, làm sai lệch mục đích kỳ thi khảo sát lớp 12 năm 2020.

Hệ thống phần mềm học và thi trực tuyến của Hà Nội bị tấn công

Hệ thống phần mềm học và thi trực tuyến của Hà Nội bị tấn công

Sở GD-ĐT Hà Nội cho biết, hệ thống phần mềm học và thi trực tuyến Hanoistudy đã bị tấn công từ bên ngoài, gây nhiễu và quá tải hệ thống tại thời điểm phát đề cho thí sinh lớp 12, trong đợt khảo sát vừa qua.

Bức xúc wi-Fi của trường quá chậm, sinh viên hack luôn website nhà trường

Bức xúc wi-Fi của trường quá chậm, sinh viên hack luôn website nhà trường

Website của ĐH FPT đã bị hacker thay đổi nội dung và để lại lời nhắn: "Yêu cầu FPT HCM đổi Wi-Fi từng phòng học, đóng tiền không phải để mua SIM 3G, 4G. Cảm ơn".

Diễn đàn hacker tiết lộ hơn 2 triệu thông tin tài khoản được cho là của ngân hàng MSB

Diễn đàn hacker tiết lộ hơn 2 triệu thông tin tài khoản được cho là của ngân hàng MSB

Một tài khoản trên diễn đàn Raidf... vừa đăng tải thông tin chi tiết của 2 triệu khách hàng được cho là của ngân hàng MSB. Hacker này tuyên bố có dữ liệu đầy đủ của ngân hàng và thậm chí của nhiều ngân hàng Việt Nam khác.

Nhiều bạn trẻ Việt kiếm tiền tỉ mỗi tháng nhờ mô hình dropshipping với Shopify

Nhiều bạn trẻ Việt kiếm tiền tỉ mỗi tháng nhờ mô hình dropshipping với Shopify

Mô hình dropshipping đã mở ra những cơ hội lớn cho những ai biết nắm bắt và vận dụng khéo léo. Thực tế thì rất nhiều dropshipper Việt đã kiếm được $2000, $5000, thậm chí $350.000 mỗi tháng nhờ tận dụng lợi thế của những mô hình dropshipping phổ biến nhất thế giới. Họ đã kiếm tiền tỷ mỗi tháng nhờ dropshipping với Shopify như thế nào?

Ví điện tử kiếm tiền như thế nào khi miễn phí sử dụng và giảm giá quanh năm?

Ví điện tử kiếm tiền như thế nào khi miễn phí sử dụng và giảm giá quanh năm?

Giới trẻ ngày nay nhiều người sẵn sàng dùng ví điện tử để mua sắm vì phương thức này tiện lợi, nhanh chóng lại còn rẻ hơn. Vậy các nhà cung cấp ví điện tử kiếm tiền như thế nào?

SỰ KIỆN NỔI BẬT

Apple tiếp tục đối mặt với các vụ điều tra của giới chức Mỹ vì cáo buộc cố tình làm chậm iPhone cũ

Apple tiếp tục đối mặt với các vụ điều tra của giới chức Mỹ vì cáo buộc cố tình làm chậm iPhone cũ

Tiếp diễn biến vụ Apple bị tố cố tình làm chậm iPhone cũ của người dùng, cả Bộ Tư pháp cùng Ủy ban Chứng khoán - Hối đoái Mỹ đều tiến hành cuộc điều tra mới.

weTechLê Mỹ Linh | 02/02/2018
Năm mới đến nhà - ai cũng có quà mỗi ngày với sự kiện tết tại VTC Pay

Năm mới đến nhà - ai cũng có quà mỗi ngày với sự kiện tết tại VTC Pay

1.000 giải lì xì may mắn trị giá 10.000 đồng cho tất cả khách hàng tham gia sự kiện, hàng chục giải 50.000 tới 500.000 đồng được trao mỗi ngày trên fanpage Ví điện tử - Cổng thanh toán VTC Pay. Đừng bỏ lỡ cơ hội để có một cái Tết “ấm” bạn nhé!

weTechThuận Thiên | 01/02/2018
Xuất hiện đơn vị thời gian mới được phát minh bởi một kỹ sư của Facebook

Xuất hiện đơn vị thời gian mới được phát minh bởi một kỹ sư của Facebook

Đơn vị thời gian mới với tên gọi “tích tắc” vừa được một kỹ sư của Facebook phát minh, sử dụng chủ yếu trong lập trình.

weTechLê Mỹ Linh | 25/01/2018
7 xu hướng công nghệ nổi bật tại triểm lãm công nghệ CES 2018

7 xu hướng công nghệ nổi bật tại triểm lãm công nghệ CES 2018

Những xu hướng công nghệ nổi bật đã được Hiệp hội Công nghệ Tiêu dùng Mỹ (CTA) giới thiệu tại Triển lãm công nghệ CES 2018 tại Las Vegas (Mỹ).

weTechThuận Thiên | 16/01/2018
Ti vi QLED 8K đầu tiên trên thế giới được Samsung giới thiệu tại CES 2018

Ti vi QLED 8K đầu tiên trên thế giới được Samsung giới thiệu tại CES 2018

Tại triển lãm công nghệ CES 2018 diễn ra tại Mỹ, Samsung đã giới thiệu mẫu ti vi mới nhất QLED Q9S, ti vi QLED 8K đầu tiên trên thế giới.

weTechThuận Thiên | 16/01/2018
2 luật sư Việt Nam lập website tập hợp người đăng ký khởi kiện Apple vụ cố tình làm chậm iPhone cũ

2 luật sư Việt Nam lập website tập hợp người đăng ký khởi kiện Apple vụ cố tình làm chậm iPhone cũ

Việt Nam là quốc gia thứ 5 trên thế giới có người dùng iPhone khởi kiện Apple trong vụ cố tình làm chậm iPhone cũ khi một website do 2 luật sư vừa lập ra để tập hợp những người muốn kiện.

weTechThuận Thiên | 15/01/2018
Đối mặt nguy cơ bị chính phủ xử lý vụ cố tình làm chậm iPhone cũ, Apple cho người dùng hạ cấp iOS

Đối mặt nguy cơ bị chính phủ xử lý vụ cố tình làm chậm iPhone cũ, Apple cho người dùng hạ cấp iOS

Cơ quan giám sát chống gian lận của Bộ Kinh tế Pháp (DGCCRF) và Thượng viện Mỹ đã vào cuộc điều tra vụ làm chậm iPhone cũ của Apple.

weTechThuận Thiên | 11/01/2018
5 xu hướng công nghệ được dự đoán tiếp tục phát triển rực rỡ trong năm 2018 để thay đổi thế giới

5 xu hướng công nghệ được dự đoán tiếp tục phát triển rực rỡ trong năm 2018 để thay đổi thế giới

Năm 2018 được dự đoán là năm công nghệ sẽ thay đổi cuộc sống con người nhanh chóng. Và điều đó sẽ phụ thuộc vào 5 xu hướng công nghệ này.

weTechThuận Thiên | 09/01/2018
Bitcoin giảm hơn 50% giá trị khiến nhiều người mất tiền tỷ chỉ trong vài ngày

Bitcoin giảm hơn 50% giá trị khiến nhiều người mất tiền tỷ chỉ trong vài ngày

Ngày 22/12 có thể xem là ngày đen tối nhất của giới đầu tư Bitcoin trong năm 2017 khi giá trị đồng tiền ảo này rớt mạnh chưa từng có.

weTechThuận Thiên | 26/12/2017
Không công nhận Uber chỉ là một phần mềm ứng dụng, châu Âu phán quyết hãng này thuộc lĩnh vực vận tải

Không công nhận Uber chỉ là một phần mềm ứng dụng, châu Âu phán quyết hãng này thuộc lĩnh vực vận tải

Thời gian qua, vụ kiện của một hiệp hội tài xế taxi ở Tây Ban Nha đối với Uber được cả thế giới quan tâm. Và phán quyết cuối cùng của Tòa án Công ty châu Âu đã làm nguyên đơn hài lòng.

weTechThuận Thiên | 21/12/2017