31 triệu USD tiền ảo Ether bị đánh cắp: Vụ trộm xảy ra và được ngăn chặn như thế nào?

Tuần trước, một nhóm hacker không rõ tên tuổi đã gây ra vụ trộm lớn thứ hai trong lịch sử các đồng tiền điện tử. Chúng đã làm thế nào? 

Các hacker đã khai thác một lỗ hổng nghiêm trọng trên Parity, một loại ví điện tử đa chữ ký trên Ethereum, đánh cắp 3 tài khoản tiền Ether có giá trị lên đến 31 triệu USD chỉ trong vài phút. Nếu có thêm vài giờ nữa, chúng có thể đã cuỗm sạch hơn 150 triệu USD trong những ví có lỗ hổng khác. Nhưng ai đó đã chặn chúng lại.

Nhận được cảnh báo, một nhóm hacker mũ trắng từ cộng đồng Ethereum nhanh chóng được tập hợp. Qua phân tích, họ cho rằng không có cách nào để hoàn lại tiền trong các tài khoản đã bị trộm. Và họ quyết định tấn công những ví tiền điện tử có lỗ hổng an ninh còn lại trước khi kẻ tấn công chưa rõ danh tính kia làm điều đó.

Bằng cách khai thác cùng một lỗ hổng, nhóm hacker mũ trắng đã "trộm" sạch tiền trong tài khoản và giữ lại số tiền lên đến 77 triệu USD.

Để ngăn kẻ tấn công trộm thêm tiền, các hacker mũ trắng đã viết một phần mềm "đánh cắp" tất cả số tiền còn lại. Sau khi số tiền được "trộm an toàn", họ trả lại cho các chủ tài khoản.

Sự việc này sau đó được xác định là do một lỗ hổng trên mã hợp đồng thông minh (smart contract code). Có 3 đối tượng liên quan đến vụ việc: Ethereum, hợp đồng thông minh và ví điện tử.

Ethereum là một loại tiền kỹ thuật số được giới thiệu lần đầu tiên năm 2013, 4 năm sau khi có Bitcoin. Sau đó, Ethereum trở thành đồng tiền kỹ thuật số có giá trị vốn hoá thị trường lớn thứ 2 trên thế giới với 20 tỉ USD (Bitcoin là 40 tỉ USD).

Ethereum phát triển dựa trên thiết kế của Bitcoin. Bitcoin sử dụng blockchain để ghi chép các giao dịch tiền mặt, còn Ethereum sử dụng blockchain để ghi lại các biến đổi trạng thái trên một máy tính phân tán khổng lồ. Phần mềm Ethereum trên máy (EVM) được thiết kế theo ngôn ngữ Turing Complete.

Hợp đồng thông minh, hiểu một cách đơn giản, chính là những chương trình máy tính chạy trên EVM. Ở rất nhiều điểm, chúng cũng giống các hợp đồng thông thường, ngoại trừ việc không cần đến luật sư hay quan toà.

Các hợp đồng thông minh được biên dịch theo bytecode và được giải thích rõ ràng bằng EVM. Với những chương trình này, bạn có thể tự động chuyển tiền ảo dựa trên các quy định của mã hợp đồng.

Có nhiều loại ví tiền ảo khác nhau với những tính năng bảo mật khác nhau. Một trong những ví tiền ảo phổ biến nhất là ví đa chữ ký. Một ví đa chữ ký có nhiều khóa bí mật để mở. Nếu ví có 3 khóa, bạn phải xác thực ít nhất 2 trong 3 khóa mới có thể mở ví. Đây cũng chính là loại ví điện tử bị tấn công trong vụ của Ethereum.

Cách tấn công đơn giản đến mức khó tin khi hacker tìm thấy một lỗ hổng trong code do lỗi của lập trình viên. Lỗ hổng cho phép hacker khởi tạo lại ví, gần giống với việc khôi phục lại cài đặt gốc. Khi đã thành công, hacker hoàn toàn có thể trở thành chủ sở hữu mới rồi lấy đi mọi thứ mà không gặp bất kỳ trở ngại nào.

Thực tế có 2 lỗ hổng. 2 phương thức initWallet và initMultiowned trên thư viện chia sẻ đã không được đánh dấu nội bộ và cũng không được kiểm tra việc tài khoản ví thực ra vẫn chưa được khởi tạo. Chỉ cần một trong hai việc này được thực hiện thì cuộc tấn công đã không xảy ra.

Lỗ hổng thứ hai nằm ở hướng dẫn delegateCall. Hacker đã tận dụng các lỗ hổng để cuỗm sạch số tiền trong 3 tài khoản ví điện tử nhiều tiền nhất chúng tìm thấy. Dựa vào thời gian giao dịch, có thể thấy chúng đã làm việc này một cách thủ công.

Các hacker mũ trắng cũng đã làm việc đó bằng script. Nhờ vậy đã kịp ngăn kẻ tấn công lấy tiền trong các ví điện tử còn lại. 

Các chuyên gia cho rằng, vấn đề không nằm ở chỗ các lập trình viên quên đánh dấu nội bộ trên thư viện ví điện tử, cũng không phải ở việc họ thực hiện lệnh gọi delegateCall mà không kiểm tra phương thức. Vấn đề nằm ở chỗ các công cụ lập trình họ sử dụng đã xảy ra lỗi.

Hầu hết những lập trình viên tham gia vào mảng blockchain này đều có nền tảng là các lập trình viên web. Vấn đề là, lập trình blockchain với lập trình web về cơ bản là khác nhau.

Cuộc tấn công lớn thứ hai trong lịch sử tiền ảo này đã thức tỉnh các công ty tiền ảo và người sử dụng quan tâm hơn đến an ninh, buộc các lập trình viên nghiêm túc hơn với các hợp đồng thông minh.

Theo Vnreview

Nội dung liên quan:

>> Bất chợt tìm ra cách "trộm" tài khoản Facebook không thể đơn giản hơn

>> Lỗ hổng bảo mật iPhone khi kết nối Wi-Fi có thể khiến bạn bị tin tặc "làm gỏi"

>> "Đột nhập" trụ sở 5 công ty khai thác Bitcoin lớn nhất thế giới