• Keyword

    ADA Altcoin Binance Bitcoin Bitcoin ETF blockchain BNB BTC Coinbase DeFi DOGE Dogecoin Donald Trump dự trữ Bitcoin ETH Ethereum FED Giá Bitcoin giá Ethereum giá XRP HYPE hợp đồng tương lai Memecoin Michael Saylor MicroStrategy Mỹ phân tích Bitcoin phân tích Ethereum phân tích kỹ thuật phân tích XRP Quy định SEC SOL Solana Stablecoin SUI thuế quan Thị trường thị trường tiền điện tử Tiền điện tử token hóa vàng XRP Đầu tư Bitcoin đào Bitcoin

    • Solana khắc phục lỗ hổng nghiêm trọng liên quan đến việc mint token không giới hạn

    Sophia Vu Đăng 05/05/2025 lúc 10:44
    44 lượt xem
    Solana Khắc Phục Lỗ Hổng Mint Token Không Giới Hạn

    Solana khắc phục lỗ hổng nghiêm trọng liên quan đến việc mint token không giới hạn

    Các nhà phát triển cốt lõi Solana và cộng đồng trình xác thực (validator) đã hợp tác chặt chẽ. Họ cùng nhau xử lý một lỗ hổng bảo mật nghiêm trọng. Tuy nhiên, quy trình vá lỗi nhanh chóng này lại làm dấy lên tranh luận về mức độ tập trung của mạng lưới.

    Solana Foundation đã chính thức xác nhận việc khắc phục thành công một lỗ hổng zero-day. Lỗ hổng này tiềm ẩn nguy cơ nghiêm trọng. Kẻ tấn công có thể lợi dụng nó để mint (đúc) token không giới hạn. Thậm chí, họ có thể rút các token này khỏi tài khoản người dùng.

    Solana Foundation đã công bố báo cáo phân tích sự cố vào ngày 3 tháng 5. Báo cáo cho biết lỗ hổng được phát hiện lần đầu vào ngày 16 tháng 4. Lỗ hổng này có thể cho phép kẻ tấn công tạo ra bằng chứng không hợp lệ (invalid proof). Điều này ảnh hưởng trực tiếp đến “Token-22 confidential tokens”. Đây là loại token hỗ trợ bảo mật và riêng tư trên Solana.

    Theo Foundation, hiện chưa ghi nhận trường hợp nào khai thác thành công lỗ hổng này. Các trình xác thực trên mạng Solana đã cập nhật và áp dụng phiên bản phần mềm đã vá lỗi.

    Chi tiết về lỗ hổng zero-day ảnh hưởng đến Token-22 confidential tokens

    Cơ chế hoạt động của lỗ hổng

    Solana Foundation giải thích lỗ hổng này liên quan đến tương tác giữa hai chương trình (programs) cốt lõi. Đó là Token-2022 và ZK ElGamal Proof.

    Chương trình Token-2022 xử lý logic ứng dụng chính cho việc mint token và quản lý tài khoản. Trong khi đó, ZK ElGamal Proof xác minh tính chính xác của bằng chứng không kiến thức (zero-knowledge proofs). Các bằng chứng này dùng để chứng minh số dư tài khoản một cách bảo mật.

    Foundation chỉ ra một số thành phần đại số quan trọng đã bị bỏ sót. Chúng bị thiếu khỏi hàm băm (hash) trong quá trình tạo bản ghi (transcript generation) của Biến đổi Fiat-Shamir (Fiat-Shamir Transformation). Biến đổi này là một kỹ thuật mật mã. Nó quy định cách người chứng minh (prover) tạo ra tính ngẫu nhiên công khai qua hàm băm.

    Lỗ hổng này cho phép kẻ tấn công lợi dụng các thành phần chưa được băm. Họ có thể tạo ra một bằng chứng giả mạo. Bằng chứng giả này lại có khả năng vượt qua quy trình xác minh. Điều này cho phép kẻ tấn công mint và chiếm đoạt các Token-22 confidential tokens.

    Token-22 confidential tokens còn được gọi là “Extension Tokens” (Token Mở rộng). Chúng ứng dụng công nghệ bằng chứng không kiến thức. Mục đích là thực hiện giao dịch chuyển tiền riêng tư và hỗ trợ các chức năng token tiên tiến hơn.

    Quá trình phát hiện và vá lỗi nhanh chóng

    Lỗ hổng được xác định lần đầu vào ngày 16 tháng 4. Ngay sau đó, hai bản vá lỗi đã được phát triển và triển khai. Chúng giải quyết triệt để các vấn đề liên quan. Phần lớn trình xác thực Solana đã nhanh chóng áp dụng các bản vá này. Quá trình này chỉ mất khoảng hai ngày.

    Nỗ lực khắc phục sự cố có sự đóng góp quan trọng từ nhiều bên. Bao gồm các công ty phát triển chủ chốt như Anza, Firedancer, Jito. Cùng với đó là hỗ trợ kỹ thuật từ các đơn vị nghiên cứu bảo mật uy tín như Asymmetric Research, Neodyme và OtterSec.

    Foundation khẳng định tất cả tài sản của người dùng trên mạng lưới vẫn an toàn.

    Liên quan: Ethereum (ETH) Tăng Trưởng Trở Lại: Áp Lực Mua Tăng Vọt, Tín Hiệu Lạc Quan Xuất Hiện

    Tranh cãi về tính tập trung hóa sau bản vá

    Việc sửa lỗi đã thành công. Tuy nhiên, cách Solana Foundation xử lý vấn đề bảo mật này một cách riêng tư với các trình xác thực đã gây lo ngại. Một bộ phận cộng đồng tiền điện tử lo lắng về tính tập trung hóa.

    Đáng chú ý là ý kiến từ một cộng tác viên của Curve Finance. Người này đã bày tỏ quan ngại về sự phối hợp chặt chẽ giữa Foundation và các trình xác thực Solana.

    “Tại sao lại có danh sách tập trung chứa thông tin liên lạc của tất cả trình xác thực? Họ còn thảo luận gì khác trong các kênh liên lạc riêng đó?” người này đặt câu hỏi. Họ lo ngại về khả năng các bên thông đồng để kiểm duyệt giao dịch. Thậm chí có thể thực hiện quay lui trạng thái chuỗi (chain).

    Giám đốc điều hành Solana Labs, Anatoly Yakovenko, đã không trực tiếp bác bỏ hoàn toàn các cáo buộc. Thay vào đó, ông cho rằng cộng đồng Ethereum cũng có khả năng phối hợp tương tự. Họ có thể làm vậy để giải quyết lỗi bảo mật nếu cần.

    Tweet tranh cãi về tập trung hóa trong crypto, rủi ro kiểm duyệt và can thiệp.

    Nguồn: Clouted

    Để củng cố lập luận, Yakovenko chỉ ra hơn 70% trình xác thực Ethereum hiện do các đơn vị lớn kiểm soát. Đó là các sàn giao dịch tiền điện tử lớn hoặc nhà cung cấp dịch vụ staking như Lido.

    “Đó cũng chính là những thực thể chiếm tới 70% trên Ethereum. Bao gồm tất cả trình xác thực của Lido (như Chorus One, P2P, v.v.), Binance, Coinbase và Kraken. Nếu Geth [client Ethereum phổ biến nhất] cần tung ra bản vá khẩn cấp, tôi rất sẵn lòng hỗ trợ họ phối hợp.”

    Cần lưu ý, vào tháng 8 năm ngoái, Solana Foundation và các trình xác thực cũng từng xử lý một lỗ hổng nghiêm trọng khác. Cách thức xử lý tương tự, không công khai rộng rãi. Khi đó, Dan Albert, giám đốc điều hành Foundation, khẳng định khả năng phối hợp vá lỗi không đồng nghĩa với việc Solana bị tập trung hóa.

    Thành viên cộng đồng: Ethereum không đối mặt với vấn đề tương tự nhờ sự đa dạng client

    Tuy nhiên, Ryan Berckmans, một thành viên tích cực của cộng đồng Ethereum, đã phản bác lập luận so sánh trên. Ông cho rằng Ethereum không gặp vấn đề tập trung hóa tương tự Solana. Ông nhấn mạnh sự đa dạng về client (phần mềm chạy node) là yếu tố khác biệt quan trọng của Ethereum.

    Berckmans cho biết, client Ethereum phổ biến nhất là Geth. Nó hiện chỉ chiếm tối đa khoảng 41% thị phần mạng lưới. Ông cũng lưu ý Solana hiện chủ yếu dựa vào một client duy nhất sẵn sàng cho production là Agave.

    “Điều này có nghĩa là lỗi zero-day trong client duy nhất của Solana về cơ bản là lỗi của toàn bộ giao thức. Thay đổi mã nguồn client duy nhất đó cũng đồng nghĩa thay đổi chính giao thức. Trong trường hợp này, client chính là giao thức.”

    Trong khi đó, Solana đang nỗ lực chuẩn bị ra mắt client mới Firedancer. Việc này dự kiến diễn ra trong vài tháng tới. Client này được kỳ vọng cải thiện đáng kể khả năng phục hồi và thời gian hoạt động (uptime) của mạng lưới.

    Mặc dù vậy, Berckmans cho rằng Solana cần ít nhất ba client hoạt động ổn định. Chỉ khi đó mới đạt được mức độ phi tập trung cần thiết ở cấp độ client.

    Tweet tranh luận về Firendancer, giải pháp cho vấn đề gì trong crypto?

    Nguồn: Ryan Berckmans

    Liên quan: Phân Tích Kỹ Thuật Solana (SOL): Nguy Cơ ‘Death Cross’ và Thử Thách Tại $150

    Các kênh thông tin của chúng tôi

    Disclaimer: Thông tin trong bài viết không phải là lời khuyên đầu tư từ Coin Tài Chính. Hoạt động đầu tư tiền mã hóa chưa được pháp luật một số nước công nhận và bảo vệ. Các loại tiền số luôn tiềm ẩn nhiều rủi ro tài chính.

    Để lại một bình luận

    Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

    Top sàn giao dịch hàng đầu

    BingX

    logo OKX

    OKX

    Bài viết cùng chủ đề