Công ty bảo mật chuỗi khối dWallet Labs gần đây đã tiết lộ một lỗ hổng mà họ tuyên bố có thể ảnh hưởng đến tiền điện tử trị giá lên tới 1 tỷ USD, với các tài sản như Ether ( ETH ), Aptos ( APT ), BNB ( BNB ) và Sui (SUI) đang gặp rủi ro.

Trong một bài báo gửi tới Cointelegraph, dWallet Labs đã báo cáo một lỗ hổng tiềm ẩn trong trình xác thực được lưu trữ bởi nhà cung cấp cơ sở hạ tầng có tên InfStones. Theo dWallet Labs, họ đã bắt đầu một bài nghiên cứu đề cập đến các cuộc tấn công vào mạng blockchain và thu thập khóa riêng bằng các cuộc tấn công Web2. Trong quá trình nghiên cứu này, dWallet Labs cho biết họ đã phát hiện ra các lỗ hổng trong trình xác thực InfStones. Nó viết:

“Một chuỗi lỗ hổng mà chúng tôi đã phát hiện và khai thác trong quá trình nghiên cứu cho phép chúng tôi giành toàn quyền kiểm soát, chạy mã và trích xuất khóa riêng của hàng trăm trình xác thực trên nhiều mạng lớn, có khả năng dẫn đến tổn thất trực tiếp tương đương hơn một tỷ đô la tiền điện tử như ETH , BNB, SUI, APT và nhiều loại khác.”

Theo dWallet Labs, kẻ tấn công khai thác lỗ hổng có thể lấy được khóa riêng của người xác thực trên các mạng blockchain khác nhau. “Hơn một tỷ đô la tài sản đặt cược đã được đặt cược trên tất cả các trình xác nhận này và kẻ tấn công như vậy sẽ có thể giành được toàn quyền kiểm soát tất cả chúng,” nó nói thêm.

Vào ngày 21 tháng 11, InfStones đã trả lời yêu cầu bình luận của Cointelegraph, phủ nhận rằng lỗi này có thể ảnh hưởng đến tài sản trị giá 1 tỷ USD. Darko Radunovic, đại diện của InfStones, nói với Cointelegraph rằng lỗ hổng tiềm ẩn chỉ có thể ảnh hưởng đến một phần nhỏ các nút trực tiếp mà nó đã khởi chạy.

Theo Radunovic, lỗ hổng tiềm ẩn đã được phát hiện trong 237 trường hợp, bao gồm 212 trường hợp được chỉ định để thử nghiệm và 25 trường hợp là các nút mới được khởi chạy trong môi trường sản xuất. Radunovic cho biết trong một tuyên bố: “Các phiên bản được xác định trong quá trình sản xuất chỉ chiếm một phần dưới 0,1% số nút trực tiếp mà chúng tôi đã triển khai cho đến nay”. Công ty cũng xuất bản một bài đăng trên blog cho biết lỗ hổng đã được giải quyết.

Radunovic cũng nhấn mạnh rằng để đối phó với lỗ hổng này, họ đã thực hiện đánh giá nội bộ và nhờ một công ty bảo mật được công nhận kiểm tra hệ thống và chính sách của công ty. Công ty cũng đưa ra chương trình tiền thưởng lỗi để khuyến khích bất kỳ bên thứ ba nào làm việc trực tiếp với công ty về bất kỳ lỗi nào họ có thể tìm thấy.