Sửa lỗi trong mạng Aptos khiến 70 tỷ USD bị tấn công với chi phí 3.000 USD
- Lỗi cho phép kiểm soát các vai trò cho phép phát hành stablecoin như USDC.
- Các nhà nghiên cứu đã thử nghiệm và cho thấy từ 17 đến 18 trong số 20 lần tấn công đều thành công.
Một lỗi nghiêm trọng trong mạng Aptos đã được sửa chữa vào tháng Hai vừa qua, sau khi công ty bảo mật Hexens chứng minh rằng lỗ hổng này có thể khiến tới 70 tỷ USD trong quỹ trong hệ sinh thái Aptos bị đe dọa thông qua một cuộc tấn công chỉ với 3.000 USD, chi phí mà các nhà nghiên cứu đề cập để thuê một máy chủ có công suất như một máy tính để bàn. Việc sửa chữa đã được thực hiện trước khi lỗi này bị khai thác, vì vậy không có người dùng nào mất tiền.
Mặc dù phát hiện và sửa chữa xảy ra vào tháng Hai, nhưng các chi tiết kỹ thuật đầy đủ và bằng chứng khái niệm (PoC) từ Hexens chỉ được công bố vào tuần này, khi Hexens và đội ngũ Aptos công bố chúng.
Từ Hexens cho biết, trong số 20 lần thử nghiệm mô phỏng cuộc tấn công, từ 17 đến 18 lần kết thúc thành công trong một môi trường thử nghiệm với hơn 30 nút (các máy tính xác minh và xác nhận các giao dịch trong mạng). Đội ngũ Aptos đã xác nhận vào ngày 4 tháng 7 trên một phương tiện truyền thông rằng phát hiện này đã được báo cáo vào ngày 25 tháng 2 thông qua một chương trình thưởng cho việc báo cáo các lỗi bảo mật, và việc sửa chữa đã được phát triển, thử nghiệm và triển khai trên mạng chính sau đó.
Lỗi xuất phát từ máy ảo Move (MoveVM), chương trình thực thi mã của các hợp đồng thông minh trong Aptos để thực hiện các giao dịch trong mạng, được thiết kế dựa trên ngôn ngữ lập trình Move. Chương trình này, theo đó, tổ chức dữ liệu của mỗi hợp đồng trong các cấu trúc, cách mà MoveVM lưu trữ, chẳng hạn như số dư của một tài khoản hoặc quyền quản lý của một giao thức.
Hệ thống lưu giữ một số nhận dạng cho mỗi cấu trúc đó trong bộ nhớ tạm thời, để không lặp lại cùng một quy trình trong mỗi giao dịch. Vấn đề phát sinh khi hệ thống xóa một phần bộ nhớ đó để giải phóng không gian, nhưng không phải tất cả: số nhận dạng của một cấu trúc có thể bị liên kết, do lỗi, với dữ liệu của một cấu trúc hoàn toàn khác. Đây được gọi là nhầm lẫn kiểu, một lỗi mà chương trình kết thúc việc xử lý thông tin của một tài khoản như thể nó thuộc về một tài khoản khác.
Với lỗi này, theo mô tả của Hexens trong báo cáo kỹ thuật được công bố vào ngày 6 tháng 7, một kẻ tấn công có thể chiếm đoạt vai trò quản trị viên chính, chức năng cho phép phát hành một stablecoin, hoặc các khả năng ký mà kiểm soát việc quản lý quỹ trong một hợp đồng. Các nhà nghiên cứu cho biết họ đã chiếm quyền kiểm soát một vai trò quản trị viên chính và đã đến bước trước khi cho phép một phát hành, mà không thực hiện nó.
Đội ngũ Hexens cũng chỉ ra rằng lỗi này ảnh hưởng đến các đường dẫn kết nối Aptos với các cầu nối giữa các mạng, như những cầu nối hoạt động Wormhole và LayerZero, và với giao thức mà công ty Circle sử dụng để di chuyển stablecoin USDC giữa các mạng khác nhau, được biết đến với tên viết tắt CCTP (Cross-Chain Transfer Protocol).
Theo công ty Hexens, một kẻ tấn công cũng có thể ép buộc xóa hoàn toàn các bộ nhớ tạm thời (cache) sau một lần thử nghiệm, thành công hoặc thất bại, để không để lại dấu vết của sự thao túng. Điều này phần nào giải thích tại sao công ty nhấn mạnh rằng các lần thử nghiệm thất bại không ngăn cản mạng hoặc phơi bày cuộc tấn công đang diễn ra.
Ngoài ra, các nhà nghiên cứu của Hexens đã so sánh vấn đề này với một kịch bản tương đương trong một mạng dựa trên Ethereum, trong đó một mã dưới sự kiểm soát của một kẻ tấn công có thể ghi trực tiếp lên không gian lưu trữ của một hợp đồng khác, vượt qua các đảm bảo của hệ thống kiểu mà Move được thiết kế đặc biệt để duy trì.
Hexens đã báo cáo lỗi theo thực tiễn công bố có trách nhiệm, tức là thông báo riêng cho Aptos trước khi công bố bất kỳ chi tiết nào công khai. Hơn nữa, một phòng khẩn cấp đã được kích hoạt do SEAL911 điều phối, một mạng lưới tình nguyện phản ứng mà các dự án khác nhau trong ngành sử dụng để phối hợp phản ứng trước các sự cố bảo mật nghiêm trọng.
Đội ngũ Aptos, về phần mình, đã đánh giá khả năng khai thác thực tế của lỗi này là <<cực kỳ thấp>>. Đánh giá này trái ngược với tỷ lệ thành công từ 17 đến 18 trong số 20 lần thử nghiệm mà Hexens cho biết đã đạt được trong các mô phỏng của họ, và cũng với các đánh giá độc lập từ hai bên thứ ba: Mudit Gupta, giám đốc công nghệ (CTO) của Polygon, cho rằng bằng chứng khái niệm hoạt động như đã mô tả, trong khi công ty Grego AI, cho rằng rủi ro trực tiếp đối với tài sản gốc của Aptos là 250 triệu USD, một con số thấp hơn nhiều so với 70 tỷ USD mà Hexens ước tính cho tác động mở rộng đối với phần còn lại của hệ sinh thái.
Cuối cùng, Charles Guillemet, giám đốc công nghệ của Ledger, cho biết rằng những phát hiện như vậy, với các dấu vết đầy đủ của máy ảo và hai bằng chứng khái niệm chức năng, trước đây yêu cầu hàng tháng làm việc của một chuyên gia và ngày nay, với các công cụ trí tuệ nhân tạo, nhanh hơn và rẻ hơn để sản xuất. Theo cách nhìn của ông, nếu các đội ngũ bảo mật có thể ngày nay xem xét từng dòng mã và xây dựng một cuộc tấn công chức năng với chi phí thấp, thì nên giả định rằng các nhóm tấn công, bao gồm cả những nhóm liên quan đến Triều Tiên như Lazarus, có khả năng tương tự.




