- Zcash đã khắc phục một lỗ hổng nghiêm trọng trong phần mềm node của mình, có thể đã khiến hàng triệu đô la trị giá ZEC bị lộ.
- Lỗ hổng ảnh hưởng đến việc xác minh bằng chứng đối với các giao dịch gắn với pool shielded Sprout đã bị ngừng sử dụng (deprecated), dù không có báo cáo nào về việc khai thác.
Zcash đã vá một lỗ hổng phần mềm nghiêm trọng có thể, trong những hoàn cảnh sai lầm, đã cho phép kẻ tấn công rút cạn một lượng ZEC đáng kể từ một phần cũ của mạng lưới.
Vấn đề nằm trong zcashd, phần mềm node, và tập trung vào các giao dịch liên quan đến pool shielded Sprout kế thừa (legacy).
Theo bản công bố, các node đã bỏ qua việc xác minh bằng chứng trong các trường hợp đó. Đây là kiểu lỗi thường thu hút sự chú ý nhanh trong các hệ thống tập trung vào quyền riêng tư, vì việc kiểm tra bằng chứng không phải là chi tiết phụ. Nó là một phần của “cơ chế cốt lõi” giúp các giao dịch chuyển tiền không hợp lệ không bị chấp nhận ngay từ đầu.
Một lỗi trong một pool cũ, nhưng vẫn là rủi ro thực sự
Lỗ hổng được Alex “Scalar” Sol công bố vào ngày 23 tháng 3, cùng với báo cáo công khai được phát hành vào thứ Ba. Khu vực bị ảnh hưởng không phải là đường dẫn quyền riêng tư chính mà đa số người dùng nghĩ đến ngày nay, mà là pool Sprout cũ hơn, vốn đã bị ngừng sử dụng (deprecated) từ trước. Dù vậy, “deprecated” không đồng nghĩa với vô hại. Nếu các khoản tiền vẫn còn nằm ở đó, bề mặt tấn công vẫn còn phù hợp.
Điều làm lỗ hổng đặc biệt nhạy cảm là khả năng các giao dịch không hợp lệ có thể lọt qua một bước xác thực quan trọng. Nói theo cách thực tế, điều đó có thể đã mở ra cánh cửa để rút tiền từ pool mà mạng không phát hiện vấn đề ở nơi mà nó lẽ ra phải bắt lỗi.
Zcash nói rằng quỹ vẫn an toàn
Cho đến nay, phần quan trọng nhất là đây. Lỗi đã được khắc phục trước bất kỳ hoạt động khai thác nào được biết đến, và phần công bố nêu rõ rằng tất cả quỹ người dùng vẫn an toàn.
Điều này có thể giúp xoa dịu sự hoảng loạn ngay lập tức, dù nó không xóa bỏ bài học rộng hơn. Các thành phần kế thừa trong hệ thống crypto có thói quen vẫn giữ tính “liên quan về mặt kinh tế” lâu sau khi hệ sinh thái đã chuyển sang suy nghĩ khác. Các pool cũ, logic đã được loại bỏ, các nhánh code đã bị ngừng sử dụng (deprecated)—những thứ này vẫn còn quan trọng khi tài sản thực sự vẫn gắn liền.
Với Zcash, sự việc này ít liên quan đến thiệt hại nhìn thấy được và nhiều hơn về giá trị của việc phát hiện một thất bại xác thực nghiêm trọng trước khi nó trở thành một vấn đề. Trong bảo mật blockchain, đôi khi câu chuyện quan trọng nhất lại là cuộc khai thác chưa bao giờ có cơ hội xảy ra.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Thủ thuật lừa bằng deepfake nhắm vào nhà phát triển Cardano, phơi bày điểm yếu mới
Một nhà phát triển Cardano cho biết một cuộc gọi video deepfake AI có vẻ thực tế đã dẫn đến việc xâm nhập máy tính xách tay, như một lời nhắc rằng làn sóng tấn công crypto tiếp theo có thể bắt đầu bằng khuôn mặt và giọng nói thay vì hợp đồng thông minh.
Cảnh báo, được chia sẻ với cộng đồng Cardano, mô tả một sự cố trong đó một kẻ mạo danh đã sử dụng
DailyCoin1giờ trước
Công tố viên Pháp Buộc Tội 88 Người Trong Vòng Tấn Công Bẻ Khóa Tiền Điện Tử
Các cơ quan chức năng Pháp đã buộc tội 88 cá nhân, trong đó có 10 người chưa thành niên, liên quan đến các vụ bắt cóc và cưỡng đoạt nhắm vào các chủ sở hữu tiền mã hóa, theo một tuyên bố từ Văn phòng Công tố Công cộng Quốc gia về Tội phạm có Tổ chức (PNACO) được công bố vào thứ Sáu. Các cáo buộc này liên quan đến 12 vụ án đang diễn ra
CryptoFrontier3giờ trước
Khi DeFi quá chậm đối với người trẻ, còn quá nguy hiểm đối với tiền cũ: rốt cuộc chúng ta đang dùng lãi suất trái phiếu chính phủ để gánh rủi ro của nợ xấu rác sao?
DeFi từng thu hút người trẻ bằng APY năm chữ số; nay bị cho là định giá quá mức và rủi ro quá cao. Trong năm qua đã bị đánh cắp hơn 1,62 tỷ đô la Mỹ, Aave từng khiến lãi suất vọt lên 12,4%. Lợi suất hợp lý khoảng 12,55%, ngưỡng dành cho nhà đầu tư lẻ là 18%, và các tổ chức ưu tiên “chiến lược tách biệt kho tiền” để giảm rủi ro đuôi. Kết luận: đòn bẩy cao đã không còn, tương lai cần định giá rủi ro cao hơn và các công cụ bảo hiểm, để có thể đồng thời đáp ứng người trẻ và “tiền của kẻ kỳ cựu”.
ChainNewsAbmedia8giờ trước
Robinhood Cảnh Báo Email Lừa Đảo Được Gửi Tới Một Số Khách Hàng
Tin tức từ Cổng, ngày 27 tháng 4 — Robinhood đã cảnh báo người dùng trên mạng xã hội rằng một số khách hàng đã nhận được email lừa đảo vào tối Chủ nhật tuần trước, với nội dung giả mạo được cho là từ noreply@robinhood.com và dòng tiêu đề "Your recent login to Robinhood."
Âm mưu lừa đảo bắt nguồn từ việc lạm dụng quy trình tạo tài khoản, chứ không phải từ việc hệ thống của công ty hoặc tài khoản khách hàng bị xâm phạm. Robinhood xác nhận rằng thông tin cá nhân và tiền của khách hàng không bị ảnh hưởng.
GateNews8giờ trước
Sàn giao dịch Websea Crypto Bị Nghi Ngờ Làm Lừa Đảo Rút Lui, Đóng Các Kênh Rút Tiền
Tin từ Gate News, ngày 27 tháng 4 — Nền tảng giao dịch tiền mã hóa Websea đã tạm dừng rút tiền và đóng các kênh C2C (peer-to-peer), với nhiều người dùng phản ánh rằng sàn giao dịch dường như đã thực hiện một vụ lừa đảo rút lui (exit scam). Nền tảng này ban đầu đã hạn chế rút tiền trước khi hoàn toàn ngừng hoạt động kênh C2C, khiến việc bán tháo hoảng loạn token gốc của nền tảng giảm xuống khoảng 50% so với giá trị trước đó.
GateNews8giờ trước
Token RAVE Tăng Vọt 110 Lần Trong Hai Tuần, Rồi Sụp Đổ 98% Giữa Các Cáo Buộc Thao Túng Thị Trường
Tin tức Gate, ngày 27 tháng 4 — RAVE, token gốc của dự án cộng đồng văn hóa dựa trên Web3 của RaveDAO (a project), đã tăng vọt 110 lần trong hai tuần trước khi lao dốc 98% chỉ trong hai ngày vào ngày 19-20 tháng 4, khiến người ta so sánh với vụ bê bối thao túng cổ phiếu Lubo khét tiếng năm 2007 ở Hàn Quốc.
Vào ngày 18 tháng 4, RAVE r
GateNews11giờ trước
