Cảnh Báo Từ Cộng Đồng Crypto
Cộng đồng tiền mã hóa vừa phát hiện một lỗ hổng bảo mật tiềm năng có thể bị kẻ xấu lợi dụng để tấn công các blockchain Layer-2 trên Ethereum. Lỗ hổng này xuất phát từ một ví multisig “ConduitMultisig” nắm quyền nâng cấp đối với 12 mạng L2, bao gồm Zora, Aevo, Hypr, Orderly Network, Ancient8, Lyra, Mode Network, Pgn, Parallel, và Metal.
Vấn Đề Từ Conduit
Nguyên nhân là do 12 mạng lưới này được phát triển dựa trên bộ công cụ Rollup-as-a-Service (RaaS) của Conduit. Conduit là nền tảng cơ sở hạ tầng cho phép triển khai các ứng dụng trên chain Optimism một cách đơn giản và nhanh chóng, mà không cần xử lý các vấn đề về khả năng mở rộng, độ tin cậy và tính nâng cấp.
Nguy Cơ Bảo Mật
Vấn đề xuất phát từ việc ví multisig của Conduit nắm quyền nâng cấp và truy cập vào 12 chain này. Theo thông tin từ L2Beat, ví “ConduitMultisig” có “khả năng nâng cấp không giới hạn” và có thể “truy cập vào tất cả các quỹ” của Aevo, với TVL hiện tại là 72 triệu USD. Tương tự, Lyra cũng có giá trị tài sản bị khóa lên tới 20 triệu USD. Tổng giá trị tài sản bị khóa (TVL) của 12 chain này lên đến 121 triệu USD.
Phản Ứng Từ Conduit
Nhà sáng lập Conduit, Andrew Huang, đã nhanh chóng trấn an rằng cần đến 3/5 chữ ký từ đội ngũ dự án mới có thể truy cập vào ví. Conduit cũng đang tiến hành nâng cấp ví từ cần 3/5 chữ ký lên 5/7 chữ ký trong những tuần tới. Tuy nhiên, biện pháp này chỉ mang tính chất trấn an tạm thời, vì lịch sử đã chứng minh rằng ngay cả các ví multisig 3/5 cũng có thể bị lạm dụng.
Ví dụ, vào tháng 8/2023, dự án memecoin PEPE đã phải thừa nhận ví multisig của mình bị lạm dụng do “lục đục nội bộ”, khi 3 cựu thành viên nắm giữ chữ ký ví kho bạc của dự án đã tự ý chuyển tiền đi.
Nguy Cơ Từ Các Cuộc Tấn Công
Không chỉ có nguy cơ từ bên trong, chiếc ví multisig này hiện đã nằm trong tầm ngắm của hacker, khó có thể đề phòng hết các trường hợp rủi ro. Thậm chí, Conduit cũng có thể “bấm nút dừng” hoạt động của các chain để bảo trì.
Sự Cố Gần Đây
Gần đây, Degen Chain đã gặp sự cố và bị đứng mạng trong hơn 55 tiếng đồng hồ. Conduit đã phải tạm thời ngừng hoạt động Degen Chain để giải quyết sự cố này.