Một sự kiện hiếm hoi đầy cảm xúc đã xảy ra trong tuần này trong thế giới crypto, khi một người dùng đã lấy lại được số tiền của mình sau khi mất 100 ETH do lỗi ví.
Việc khôi phục này nhờ vào hành động của đội ngũ Safe Wallet và sự dự đoán của các nhà phát triển white-hat tại Protofire.
100 ETH bị mất do lỗi ví—Sau đó được khôi phục trong một cuộc giải cứu ngoạn mục
Sự cố xảy ra khi người dùng Ethereum lâu năm khalo_0x trên X (Twitter) cố gắng chuyển 100 ETH từ Ethereum Mainnet sang Base blockchain. Họ đã sử dụng giao diện Safe Wallet Bridge chính thức.
Tại thời điểm viết bài, với giá ETH là 2,635 USD, giao dịch này có giá trị hơn 263,500 USD.
Không biết trước, một lỗi trải nghiệm người dùng nghiêm trọng trong công cụ bridge đã cho phép chuyển tiền đến một ví smart contract mà tưởng chừng như là của anh ấy.
Tuy nhiên, ví này lại được kiểm soát bởi một thực thể khác.
Nguyên nhân của vấn đề nằm ở việc Khalo sử dụng phiên bản Safe cũ (v1.1.1), được triển khai vào năm 2020. Phiên bản cũ này không có các biện pháp bảo vệ hiện có trong các phiên bản mới hơn.
Kết quả là, một kẻ tấn công, hoặc ít nhất là có vẻ như vậy, đã triển khai một bản sao địa chỉ ví của Khalo trên Base, nhưng với cấu hình chủ sở hữu khác. Với điều này, họ đã chiếm đoạt số tiền ngay khi chúng được chuyển qua bridge.
“Tôi đã mất toàn bộ số tiền tiết kiệm của mình chỉ trong một cú nhấp chuột khi sử dụng Safe tối qua. Đó là sau 8 năm giữ ETH và tránh các vụ lừa đảo. Một lỗi UX trong tính năng Bridge chính thức đã khiến địa chỉ đích tưởng như là Safe của tôi trên Base. Nhưng không phải vậy,” Khalo than thở trong một bài đăng.
Bài tweet đã thu hút sự chú ý từ cộng đồng crypto, bao gồm cả đội ngũ Safe. Nhà phát triển Tschubotz.eth đã điều tra và phát hiện rằng địa chỉ Base kiểm soát ETH đã được bridge không phải là ác ý.
Phiên bản ví lỗi thời mở cửa cho khai thác chuỗi chéo
Thay vào đó, nó đã được triển khai bởi Protofire, một công ty phát triển white-hat đã chủ động triển khai hàng trăm ví Safe v1.1.1 trên Base để ngăn chặn các kẻ tấn công black-hat làm điều đó.
“Không giống như EOAs (Tài khoản Sở hữu Bên ngoài), các tài khoản thông minh như Safe được quản lý bởi mã smart contract đã triển khai. Về mặt kỹ thuật, có thể triển khai một tài khoản thông minh với cùng cấu hình triển khai (cùng người ký) trên các chuỗi khác nhau tại cùng một địa chỉ (sử dụng triển khai counterfactual)… Nhưng trường hợp này khác… Phiên bản tài khoản thông minh từ thời điểm đó (v1.1.1.) chưa được viết với ý tưởng multichain, vì vậy có thể bất kỳ ai cũng có thể triển khai một tài khoản thông minh trên một chuỗi khác với cấu hình hoàn toàn khác tại cùng một địa chỉ,” đồng sáng lập Safe Lukas Schor giải thích.
Sau khi xác minh danh tính của Khalo, Protofire đã nhanh chóng trả lại toàn bộ 100 ETH. Một giao dịch chuyển tiền đầy đủ thành công đã diễn ra sau một giao dịch thử nghiệm, giải quyết khủng hoảng chỉ vài giờ sau khi nó bắt đầu.
“Đây là một trong những câu chuyện crypto thú vị nhất mà tôi đã thấy trong một thời gian,” nói Haseeb Qureshi, Đối tác Quản lý tại Dragonfly.
Sự cố này nhấn mạnh sự cần thiết cấp bách cho các biện pháp bảo vệ người dùng tốt hơn khi ví crypto phát triển trong các hệ sinh thái multichain.
Phiên bản cập nhật v1.2.0 của Safe hiện đã bao gồm các biện pháp bảo vệ chống lại loại khai thác này bằng cách thay đổi cách tính toán muối CREATE2 trong quá trình triển khai hợp đồng.
Công cụ bridge cũng đã được nâng cấp để đưa ra cảnh báo nếu có mã smart contract xung đột tại địa chỉ đích.
Tuy nhiên, sự cố này là một lời nhắc nhở nghiêm túc rằng người dùng vẫn dễ bị tổn thương trước các lỗi tinh vi, không rõ ràng.
“…chúng ta vẫn đang ở giai đoạn mà người dùng được kỳ vọng sẽ thực hiện các giao dịch thử nghiệm trước khi chuyển số tiền lớn hơn.,” Schor nói thêm.
Mặc dù ban đầu gặp phải cú sốc, câu chuyện của Khalo đã kết thúc với việc số tiền của anh ấy được khôi phục.
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
