Cộng đồng crypto vừa phát hiện ra một "nút cổ chai" trong bảo mật của các blockchain Layer-2, mà qua đó sẽ gây ra ảnh hưởng diện rộng lên 12 chain đang hoạt động hiện tại.
Mối lo ngại 12 mạng lưới Layer-2 có thể bị tấn công qua "nút cổ chai" Conduit
Cộng đồng tiền mã hóa vừa phát hiện ra một lỗ hổng tiềm năng có thể bị bọn tấn công lợi dụng để xâm phạm các blockchain Layer2 Ethereum.
Cụ thể, người dùng donnoh.eth cho biết có một ví multisig "ConduitMultisig" nắm quyền nâng cấp đối với 12 mạng L2 gồm Zora, Aevo, Hypr, Orderly, Ancient8, Lyra, Mode, Pgn, Parallel và Metal.
also friendly reminder that conduit chains are all upgradable by the same multisig (includes zora, aevo, hypr, orderly, ancient, lyra, mode, pgn, parallel, metal) pic.twitter.com/cZ5MzeaHfJ
— donnoh.eth 💗 (@donnoh_eth) May 19, 2024
Lý do là vì 12 mạng lưới này đều được phát triển dựa trên bộ công cụ Rollup as a Service (RaaS) của Conduit.
Conduit là nền tảng cơ sở hạ tầng cho phép triển khai các ứng dụng trên chain Optimism đơn giản, nhanh chóng mà không cần phải xử lý những khía cạnh khác như khả năng mở rộng, độ tin cậy và tính nâng cấp.
Vấn đề từ đây xuất hiện, ví multisig của Conduit nắm quyền nâng cấp và truy cập vào 12 chain này.
Theo thông tin từ L2Beat, ở mục Cấp phép (Permissions) của Aevo cho thấy ví "ConduitMultisig" có "khả năng nâng cấp không giới hạn” và có thể "truy cập vào tất cả các quỹ". Aevo hiện có TVL 72 triệu USD.
Nguồn: L2Beat
Thông tin tương tự cũng có thể tìm thấy ở Lyra - giao thức đang sở hữu 20 triệu USD giá trị tài sản bị khóa.
Nguồn: L2Beat
Vì thế, nếu ví multisig Conduit bị tấn công sẽ dễ dàng dẫn đến cả 12 chain bị ảnh hưởng. Tính tổng tất cả TVL của 12 chain thì trị giá lên đến 121 triệu USD.
Nhà sáng lập Conduit Andrew Huang nhanh chóng trấn an rằng phải cần đến 3/5 chữ ký từ đội ngũ dự án mới có thể truy cập ví.
Huang cũng cho biết thêm Conduit đang tiến hành nâng cấp ví từ cần 3/5 chữ ký lên 5/7 chữ ký “trong những tuần tới”.
Dù vậy, đây chỉ là biện pháp trấn an nhất thời, vì từ trước đến nay cũng không thiếu những trường hợp tài sản trong ví multisig 3/5 chữ ký bị chuyển đi bất hợp pháp.
Chẳng hạn như đồng memecoin PEPE hồi tháng 8/2023 đã phải thừa nhận ví multisig chuyển token lên sàn vì "lục đục nội bộ". 3 cựu thành viên nắm giữ chữ ký ví kho bạc của dự án đã vì "cái tôi lớn và tham lam" mà tự ý chuyển tiền đi.
Dĩ nhiên, không thể đặt ra giả định rằng sẽ có 3 thành viên của Conduit tự ý xâm phạm ví được, nhưng chiếc ví này hiện nay đã nằm trong tầm ngắm của bọn hacker, chúng ta khó mà đề phòng hết tất cả trường hợp rủi ro.
Hoặc không cần đến việc tấn công từ bên ngoài, Conduit cũng có thể "bấm nút dừng" hoạt động của các chain để bảo trì.
a friendly reminder that rollup-as-a-service providers can literally shut down the entire network for maintenance pic.twitter.com/UOKliAKEO7
— mert | helius | hSOL (@0xMert_) May 19, 2024
Gần nhất là khi Degen Chain đứng mạng, không sinh block mới trong hơn 11 tiếng đồng hồ, phía Conduit đã tạm thời ngừng hoạt động Degen Chain để giải quyết xong sự cố.
Coincuatui tổng hợp
Nguồn: Coin68