article image

Tại sao ví đa chữ kí Parity bị hack?

Altcoin

14/11/2017

2423

Lý lịch

Ví đa chữ kí là hợp đồng thông minh được thiết kế để quản lý tài sản mã hóa bằng sự đồng ý của nhiều chủ sở hữu ví. Loại ví này thường cho phép đặt giới hạn rút tiền hàng ngày, bỏ phiếu cho rút tiền, bỏ phiếu cho thay đổi quyền sở hữu, v.v.

Với sự gia tăng mạnh giá tiền mã hóa trong năm nay, nhiều người hiện đang nắm giữ một lượng tài sản mã hóa đáng kể. Để đảm bảo an toàn hơn, đưa tài sản của bạn hoặc ít nhất là hầu hết trong số chúng vào một chiếc ví đa chữ kí là một bước tiến thống minh. Điều đó tăng cường mức độ an ninh cho một quá trình di chuyển rất nhiều tiền khá nhanh chóng. Nếu bạn sở hữu một chiếc ví đa chữ kí, bạn cần nhiều "chữ ký" để chuyển tiền ra khỏi ví. Trên thực tế, các chữ ký này có nghĩa là nhiều khóa cá nhân.

Cách thay thế để giữ giá trị trong các tài khoản người dùng đơn giản xuất hiện vào năm 2012. Ví đa chữ kí đặc biệt được ưa chuộng bởi các công ty startup và các nhóm khác vì chúng là một biện pháp bảo vệ chống lại các cuộc tấn công của hacker nhằm vào các chủ sở hữu tài sản. Điều này là do chúng cho phép một số tài khoản của chủ sở hữu được dung hòa trong khi giữ toàn quyền kiểm soát tiền. Tất nhiên, nó cũng giúp chống lại các nhân viên lén lút có thể muốn ôm tiền chạy. Vì lý do này, ví đa chữ kí cũng là một cách phổ biến để lưu trữ tiền mã hóa trong ICO.

Vài năm trước Gavin Wood, đồng sáng lập và CTO Ethereum thành lập EthCore, một tổ chức phi lợi nhuận phát triển phần mềm cho cơ sở hạ tầng Ethereum, sau đó đổi tên thành Parity Technologies. Một trong những sản phẩm của nó là Parity, một client Ethereum cung cấp giao diện web cho phần mềm nút Ethereum cơ bản. Nó cho phép người dùng truy cập vào các chức năng cơ bản của Ether và ví token đồng thời cũng tương tác với các hợp đồng thông minh được triển khai trên Ethereum Blockchain. Ví Parity được thiết kế để tích hợp liền mạch với tất cả các token tiêu chuẩn cũng như quản lý việc chuyển giao Ether. Nó tương thích với Ubuntu, OSX, DockerWindows. Rất nhiều lựa chọn được cung cấp bởi ví Parity đã làm cho nó trở nên cực kỳ phổ biến trong cộng đồng mã hóa.

Tấn công

Đa chữ kí được phân phối cho người dùng như là mã nguồn hợp đồng thông minh: bất cứ khi nào ai đó muốn nhận nó, họ lấy mã hiện tại từ kho chứa, triển khai hợp đồng lên Ethereum Blockchain sau đó thiết lập chủ sở hữu, địa điểm và khoản tiền, vv. Mỗi ví là một trường hợp riêng biệt của mã.

Trong trường hợp của Parity, một số yếu tố thiết yếu của logic hợp đồng bao gồm chức năng rút vốn cho phép lấy tiền ra được đặt trong thư viện. Thư viện là một hợp đồng thông minh đã triển khai được sử dụng bởi mọi Parity đa chữ kí hiện có (bắt đầu từ một phiên bản cụ thể). Sự tách biệt mã như vậy về mặt lý thuyết có thể là một điều tốt: ví dụ, loại bỏ chi phí gas cho người dùng triển khai ít mã hơn. Thật không may, nó cũng có nghĩa là nếu thư viện bị phá vỡ bằng một cách nào đó, nó sẽ ảnh hưởng đến mọi hợp đồng tùy thuộc vào nó. Và không có sự ngẫu nhiên nào được tính đến.

Vào ngày 6-8 tháng 11, người ta phát hiện ra rằng có thể tự mình khởi tạo thư viện như một chiếc ví, tuyên bố quyền sở hữu của thư viện bao gồm quyền tiêu diệt nó hoàn toàn. Tất cả các hợp đồng phụ thuộc đã được triển khai sẽ trở nên vô dụng. Sau khi tiêu diệt thư viện, kẻ tấn công đã thăm dò một số đa chữ kí được triển khai để thử và thay đổi danh sách chủ sở hữu và rút khoản tiền, theo các bước của lỗ hổng bị khai thác vào tháng 7. Giữa vấn đề đó và vấn đề GitHub tuyên bố sự thiếu năng lực, câu hỏi về động cơ của kẻ tấn công vẫn còn chưa rõ ràng.

Theo crypto eli5, 151 chiếc ví đã bị đóng băng với tổng số dư của chúng là 513,743 ETH hay 152 triệu USD. Parity Technologies thông báo rằng 573 ví đã bị ảnh hưởng và tổng số dư của chúng không rõ.

Phản ứng chung

Sự hoài nghi là cảm giác đầu tiên và phổ biến nhất mà các thành viên cộng đồng mã hóa trải qua. Họ không muốn nhìn thấy khoản tiền khoảng 154 triệu USD bị khóa do những hành động được cho là ngẫu nhiên của một số người mới! Nó đã không chỉ nghiền nát sự phục hồi ổn định của Parity sau vụ hack khét tiếng hồi tháng 7 mà còn khiến một số người dùng xem xét giới hạn an ninh thất bại và liệu Parity đã đạt được nó hay không.

Phản ứng đầu tiên đối với các quỹ đang bị đóng băng là sự hoảng loạn hoàn toàn - chỉ sáu tháng sau khi vụ hack tháng 7 trôi qua, việc lặp lại dường như là không thể, mặc dù các thành viên cộng đồng hiểu lí lẽ nhất ít nhất đã bắt đầu coi sự an toàn của tiền mã hóa là ưu tiên hàng đầu. Ngay khi Parity đưa ra lời giải thích chính thức, sự hoảng loạn đã bị thế chỗ bằng sự nghi ngờ khi những người dùng bị ảnh hưởng nhận thấy mình bị thiệt hại.

Parity gần đây tuyên bố rằng họ xử lý nghiêm túc các vấn đề về an toàn và an ninh - vậy làm thế nào điều đó có thể xảy ra? Một trong những mối quan tâm chính là lỗi đã tồn tại một thời gian trước khi vụ tấn công xảy ra. Nó ảnh hưởng đến ví được tạo ra sau ngày 20 tháng 7 năm 2017, tức là sau khi thông báo lỗi được kích hoạt bởi vụ hack.

Một lỗ hổng trong phiên bản hiện tại của ví Parity đa chữ kí đã bị khai thác, dẫn tới việc 30 triệu USD bị đánh cắp và 180 triệu USD nữa được một nhóm hacker mũ trắng giải cứu và sau đó quay trở lại với các chủ sở hữu hợp pháp. Sau cuộc tấn công, Parity Tech đã triển khai một phiên bản mới của chiếc ví mà hóa ra là lại đưa tới một lỗ hổng khác. Điều này dẫn đến một số người dùng phàn nàn về sự vô tâm của Parity với quỹ của họ và quá trình gỡ lỗi vụng về trước khi phát hành bản cập nhật. Thực tế là việc khai thác lỗ hổng có thể được bắt đầu bởi một người mới vụng về (như chính người này tự tuyên bố) cũng không đem lại niềm tin cho công ty.

Parity trả lời một cách cẩn thận nhất, tránh bất kì sự chắc chắn nào. Ai có thể đổ lỗi cho họ vì đã cố gắng làm dịu những tiếng ồn ào? Tuy nhiên, người sử dụng nhìn thấy các cụm từ như "theo sự hiểu biết tốt nhất của chúng tôi" tin rằng các nhà phát triển không hề kiểm soát được tình huống.

Những kẻ tấn công chia thành hai nhóm gần như bằng nhau: những người đổ lỗi cho các nhà phát triển của hợp đồng thông minh và những người tin rằng toàn bộ công ty là có tội. Đấy là không nhắc đến một số tiếng nói tuyên bố rằng các cấu trúc Ethereum (chẳng hạn như hợp đồng thông minh không thể thay đổi) gây ra lỗi. Họ thường gặp phải phản đối rằng chính thủ tục mã hóa và sự trưởng thành của chu kỳ phát triển mới là khuyết điểm.

Hậu quả

Khoảng 154 triệu USD vẫn bị mắc kẹt trong ví bị ảnh hưởng. Vì các hợp đồng thông minh trong Ethereum không thể thay đổi và không có biện pháp cứu trợ nào được đưa vào trong mã này, cách duy nhất để thu hồi khoản tiền có vẻ như là một hard fork của mạng lưới Ethereum. Nếu không, Ether sẽ vẫn ở trong các hợp đồng bị ảnh hưởng mãi mãi. Điều này gây ra sự bất hòa trong cộng đồng Ethereum. Các cuộc thăm dò ý kiến Twitter không chính thức cho thấy khoảng 50/50 người ủng hộ và phản đối sáng kiến vì fork trước đó đã phá vỡ Ethereum thành hai mạng lưới cạnh tranh.

Có một vài khả năng về mặt kỹ thuật của việc làm thế nào hard fork sẽ hoạt động, bao gồm thực hiện EIP 156 hoặc đưa một phiên bản cố định của thư viện trở lại vị trí. Tuy nhiên, đây là một vấn đề gây tranh cãi, mang lại tất cả mọi thứ đã được thảo luận liên quan đến The DAO Hack và sự cứu trợ tiếp đó.

Các bên bị ảnh hưởng

Những người chơi chính không vội vã với đề xuất "đồng ý hoặc tự chối", họ chờ đợi để biết thêm chi tiết từ Parity. Khi quỹ thực sự đóng băng không phải bị đánh cắp, nhà phát triển không bị áp lực giới hạn thời gian - mặc dù một số sẽ xem xét sự bất mãn ngày càng tăng của người dùng sẽ là thử thách khó hơn.

Tuy nhiên, hầu hết các công ty bị ảnh hưởng bởi vụ khai thác lỗ hổng này đều đã công bố các tuyên bố nhằm làm hài lòng khách hàng và đảm bảo rằng bằng cách này hay cách khác, vấn đề sẽ được giải quyết.

Các đa chữ kí được sử dụng bởi Web3 Foundation để chấp nhận đóng góp cho Polkadot, cũng được thành lập bởi Gavin Wood bị ảnh hưởng lớn nhất, đặt ETH vượt ra ngoài sự truy cập của nó. May mắn thay, ví đa chữ kí bị ảnh hưởng không chứa tất cả các khoản tiền. Do đó, công ty tuyên bố rằng lộ trình ban đầu của họ không bị ảnh hưởng. Họ vẫn đang trong quá trình đánh giá thiệt hại và tìm kiếm các giải pháp khả thi nhưng có vẻ khá bình tĩnh và tự tin về tương lai.

Nền tảng Iconomi và hệ thống lưu trữ của nó cũng khẳng định là an toàn. 35 triệu USD được lưu trữ sử dụng hợp đồng Parity đa chữ kí bị ảnh hưởng và sẽ vẫn bị khóa cho tới khi tình huống được giải quyết. Tuy nhiên, tất cả các tài sản kỹ thuật số của người dùng được lưu trữ trên nền tảng này đều an toàn và hoạt động của nền tảng không bị ảnh hưởng. Các nhà phát triển của nền tảng này vẫn giữ thái độ lạc quan. Họ tuyên bố rằng hệ sinh thái Ethereum đã chứng minh nó có khả năng phản ứng nhanh và thích nghi với những thách thức bất ngờ.

Nền tảng Cappasity cũng đảm bảo với người dùng rằng nền tảng và nội dung được lưu trữ ở đó an toàn và tính năng của nền tảng không bị ảnh hưởng. Mặc dù số tiền huy động được trong crowdsale cho đến nay được lưu trữ trong một ví Parity đa chữ kí bị ảnh hưởng, công ty vẫn giữ được sự tự tin. Các crowdsale được tiếp tục thường xuyên, nó đã chuyển ngay đến một ví đa chữ kí khác sau cuộc tấn công. Dường như Cappasity đã sẵn sàng cho thách thức: các đối tác hiện tại của công ty có thể bù đắp cho khoản tiền bị khóa nếu cần. Nhóm cũng đã tiến hành nghiên cứu riêng về vụ tấn công, kết luận rằng có một khả năng rất lớn việc này là một vụ cố tình hack (bằng chứng được đưa ra vào cuối báo cáo chính thức đầu tiên của công ty).

Nhìn chung, chúng ta thấy rằng các người tham gia hàng đầu đã hành động một cách khôn ngoan vì họ đã không đặt tất cả trứng vào một giỏ. Đây dường như là chiến lược tốt nhất có thể vì Blockchain vẫn là một ngành công nghiệp non trẻ và nó phải trải qua một vài đợt lên xuống nữa để mài dũa những chiến thuật tốt nhất và an toàn nhất.

Nguồn cointelegraph

Dịch Công nghệ tiền ảo

(xin vui lòng tôn trọng người dịch nếu có sử dụng lại bài viết)

tag: ethereum, ví parity

admin avatar

admin Tác giả

Yêu thích công nghệ tiền ảo và các lĩnh vực công nghệ liên quan tới blockchain. Muốn mang lại kiến thức và tin tức mới nhất tới người Việt.

Bài viên liên quan

Để lại bình luận

Địa chỉ mail của bạn sẽ không công khai. Các ô có dấu * yêu cầu bắt buộc phải điền.