Theo Asymmetric Research, lỗ hổng của IBC tuy tồn tại từ trước nhưng chỉ mới gần đây trở nên có thể khai thác do những phát triển trong codebase của giao thức.

Một công ty bảo mật blockchain đã báo cáo về việc vá thành công một lỗ hổng nguy cấp trong giao thức IBC (Giao tiếp Liên Blockchain) của Cosmos, ngăn chặn khả năng mất mát lên đến $126M tiền điện tử.

Công ty nghiên cứu bảo mật Asymmetric Research cho biết vào ngày 23 tháng 4: “Chúng tôi đã bí mật tiết lộ lỗ hổng này thông qua chương trình Thưởng Săn Lỗi Cosmos HackerOne và vấn đề hiện đã được vá.”

Họ cũng nhấn mạnh: “Không có hoạt động khai thác độc hại nào xảy ra và không có khoản tiền nào bị mất”.

Lỗi này có thể cho phép tấn công tái nhập (reentrancy attack), cho phép tin tặc đúc mã thông báo vô hạn trên các chuỗi được kết nối IBC như Osmosis và các hệ sinh thái tài chính phi tập trung khác trên Cosmos.

Giới hạn tốc độ phục vụ để ngăn chặn hoặc ít nhất là giảm thiểu các cuộc tấn công cố gắng áp đảo hệ thống bằng cách kiểm soát tốc độ thực hiện các yêu cầu.

Asymmetric lưu ý rằng lỗi này đã tồn tại trong ibc-go – một ngôn ngữ lập trình cấp cao để triển khai IBC – kể từ khi nó ra mắt vào năm 2021.

Tuy nhiên, lỗi này chỉ mới có thể khai thác gần đây, sau khi các nhà phát triển Cosmos khởi chạy một ứng dụng của bên thứ ba mới gọi là IBC middleware – cho phép các token ICS20 (tiêu chuẩn token liên chuỗi) di chuyển giữa các chuỗi.

Asymmetric nhấn mạnh rằng vấn đề này cho thấy việc phá vỡ các giả định về lòng tin và giới thiệu các lỗ hổng mới bằng cách thêm các tính năng và chức năng mới dễ dàng như thế nào. Nó cũng là một ví dụ khác về tầm quan trọng của phòng thủ nhiều lớp.

Theo GitHub Commit, lỗi này đã được vá bởi nhà phát triển Cosmos – Carlos Rodriguez khoảng ba tuần trước.

Một lỗ hổng bảo mật quan trọng khác đã được xác định trong giao thức IBC vào tháng 10 năm 2022, ảnh hưởng đến tất cả các chuỗi được kết nối IBC nhưng đã được vá trước bất kỳ lỗ hổng tiềm ẩn nào.

Nguồn: Kenhbit tổng hợp