Bảng tỷ giá 
Bạn đang ở:
116 
Lỗ hổng này đã được vá, bất chấp việc nó đã ảnh hưởng đến một số nhà cung cấp mô phỏng giao dịch hàng đầu.
Theo một bài đăng trên blog được xuất bản bởi các nhà phát triển ví tiền điện tử ZenGo, công ty cho biết họ đã phát hiện ra các lỗ hổng bảo mật trong các giải pháp mô phỏng giao dịch được sử dụng bởi các ứng dụng phi tập trung phổ biến hoặc dApps. Được mệnh danh là "cuộc tấn công viên thuốc đỏ", lỗ hổng này cho phép các dApp độc hại đánh cắp tài sản của người dùng dựa trên các phê duyệt giao dịch không minh bạch được người dùng cung cấp và phê duyệt. Lỗ hổng bắt nguồn từ tên của nó từ cảnh "viên thuốc màu đỏ" mang tính biểu tượng trong loạt phim The Matrix.
"Nếu phần mềm độc hại có thể phát hiện ra phần mềm độc hại thực sự đang được thực thi trong môi trường mô phỏng hoặc sống trong ma trận, phần mềm độc hại đó có thể hành xử một cách lành tính, do đó đánh lừa giải pháp chống phần mềm độc hại và chỉ tiết lộ bản chất độc hại thực sự của nó khi thực sự được thực thi trong môi trường môi trường thực."
ZenGo tuyên bố nghiên cứu của họ tiết lộ rằng nhiều nhà cung cấp hàng đầu, bao gồm cả Coinbase Wallet, đã có lúc dễ bị tấn công như vậy. "Tất cả các nhà cung cấp đều rất tiếp thu báo cáo của chúng tôi," ZenGo cho biết, "và hầu hết họ đã nhanh chóng khắc phục các triển khai bị lỗi của mình."
Lỗ hổng có thể xảy ra do sự giám sát lập trình trong "Biến đặc biệt" trong số các hợp đồng thông minh lưu trữ thông tin chung về chức năng blockchain, chẳng hạn như dấu thời gian của khối hiện tại. Tuy nhiên, trong quá trình mô phỏng, ZenGo cho biết không có giá trị chính xác cho các Biến đặc biệt và yêu cầu các nhà phát triển "đi tắt" và đặt chúng thành một giá trị tùy ý.
"Ví dụ: lệnh "COINBASE" chứa địa chỉ của máy khai thác khối hiện tại. Vì trong quá trình mô phỏng, không có khối thực và do đó không có máy khai thác, một số triển khai mô phỏng chỉ đặt nó thành địa chỉ null (địa chỉ tất cả là số 0). "
Trong một video, các nhà phát triển ZenGo đã chứng minh cách mô phỏng hợp đồng thông minh trên Polygon (MATIC) yêu cầu người dùng gửi tiền gốc trong nền tảng giao dịch cho một nền tảng khác có thể bị xâm phạm thông qua phương pháp này:
"Khi người dùng thực sự gửi giao dịch khi giao dịch, COINBASE [Ví] thực sự chứa đầy địa chỉ khác 0 của máy khai thác hiện tại và hợp đồng chỉ nhận số tiền đã gửi."
ZenGo cho biết cách khắc phục lỗ hổng rất đơn giản: "thay vì điền các biến dễ bị tổn thương này bằng các giá trị tùy ý, các mô phỏng cần điền chúng bằng các giá trị có ý nghĩa." Công ty đã trình bày các ảnh chụp màn hình đã được chỉnh sửa lại về tiền thưởng lỗi, dường như được trao bởi Coinbase, để giải quyết vấn đề. Ethereum (ETH) Foundation cũng đã trao cho ZenGo khoản tài trợ trị giá 50.000 đô la cho nghiên cứu của họ về mô phỏng giao dịch.
Quick shoutout to security researcher @0xVazi from @ZenGo who made some helpful, proactive suggestions recently!
— Pocket Universe (@PocketUniverseZ) January 27, 2023
We love working together with others in the security space to keep everyone safe
Theo CoinTelegraph
|
|
Tags: Tiền điện tử, ZenGo, Ví Coinbase,
