Kẻ tấn công không rõ danh tính gây rối nâng cấp Pectra của Ethereum trên mạng thử nghiệm Sepolia

Một vấn đề bất ngờ đã xảy ra trong quá trình thử nghiệm Pectra của Ethereum trên mạng thử nghiệm Sepolia, được làm trầm trọng hơn bởi một người dùng không rõ danh tính khai thác việc chuyển giao token không giá trị.

Một nhà phát triển Ethereum đã báo cáo rằng nâng cấp Pectra gần đây trên mạng thử nghiệm Sepolia gặp phải lỗi, tình trạng này trở nên tồi tệ hơn khi một kẻ tấn công khai thác một 'trường hợp biên' để khai thác các khối rỗng.

Nâng cấp Pectra đã được triển khai trên mạng thử nghiệm Sepolia vào lúc 7:29 sáng ngày 5 tháng 3. Tuy nhiên, nhà phát triển Ethereum Marius van der Wijden đã lưu ý trong bài đăng ngày 8 tháng 3 rằng các thông báo lỗi xuất hiện trên node geth của họ, và các khối rỗng đang được khai thác.

Vấn đề bắt nguồn từ việc hợp đồng ký gửi kích hoạt một loại sự kiện không chính xác—sự kiện chuyển giao thay vì ký gửi, như được giải thích bởi Van der Wijden.

Một giải pháp đã được triển khai, nhưng một trường hợp biên bị bỏ sót đã bị một người dùng không rõ danh tính khai thác, người này đã gửi một giao dịch token không giá trị đến địa chỉ ký gửi, gây ra lỗi một lần nữa.

Van der Wijden đã nhận xét, 'Sau vài phút chúng tôi lại thấy rất nhiều khối rỗng, vì vậy chúng tôi đã kiểm tra lại các hồ bơi giao dịch và tìm thấy một giao dịch gây hại khác đã kích hoạt cùng những trường hợp biên đó.'

Ban đầu, nhóm nghi ngờ một lỗi từ một người xác thực đáng tin cậy, nhưng họ sớm phát hiện ra giao dịch đến từ một tài khoản mới được tài trợ thông qua vòi nước.

Van der Wijden chỉ ra rằng tiêu chuẩn ERC-20 không cấm các giao dịch token không giá trị, cho phép bất kỳ ai, ngay cả khi không có token, cũng có thể khởi tạo một giao dịch đến một địa chỉ khác, điều mà người dùng không rõ danh tính đã khai thác.

Để giảm thiểu cuộc tấn công, Van der Wijden tuyên bố, 'Cách duy nhất để ngăn chặn cuộc tấn công là lọc bỏ tất cả các giao dịch tương tác với hợp đồng ký gửi. Vì vậy, chúng tôi đã thực hiện giải pháp riêng tư sau đây, mà chúng tôi đã triển khai cho một số node DevOps.'

Họ nghi ngờ kẻ tấn công đang theo dõi các cuộc trò chuyện của họ, dẫn đến việc giữ giải pháp riêng tư và chỉ cập nhật một số node được kiểm soát để đảm bảo nhiều khối đầy đủ hơn trên mạng.

Đến 2 giờ chiều, tất cả các node đã được cập nhật với giải pháp, và giao dịch của người dùng không rõ danh tính đã được khai thác thành công.

Van der Wijden xác nhận rằng việc hoàn tất không bao giờ bị mất trong sự cố này, và vấn đề được giới hạn ở Sepolia vì họ sử dụng hợp đồng ký gửi có token, không giống như hợp đồng ký gửi của mainnet.

Trước đó, nâng cấp Pectra đã được thử nghiệm trên mạng thử nghiệm Holesky vào ngày 26 tháng 2, nơi nó cũng gặp phải các vấn đề.

Kết quả là, các nhà phát triển đã quyết định trì hoãn nâng cấp Pectra để thực hiện thêm các thử nghiệm.

Fork Pectra theo sau nâng cấp Dencun của Ethereum, đã giảm phí giao dịch cho các mạng layer-2 và cải thiện kinh tế của các rollup Ethereum. Fork cứng Dencun đã được triển khai vào ngày 13 tháng 3 năm 2024.

Quỹ Ethereum gần đây đã công bố một cấu trúc lãnh đạo mới, với Hsiao-Wei Wang và Tomasz Stańczak làm đồng giám đốc.

Theo Cointelegraph

Tin khác