Lido vừa công bố vá lỗ hổng bảo mật liên quan đến hợp đồng xác thực rút tiền trên nền tảng Ethereum mà chưa gây ra thiệt hại nào cho người dùng.
Lỗ hổng này được phát hiện và khắc phục nhanh chóng thông qua giải pháp oracle cùng đề xuất bỏ phiếu của DAO, đồng thời Lido đã thưởng cho chuyên gia bảo mật tiết lộ vấn đề. Người dùng stETH và các node vận hành CSM không bị ảnh hưởng.
Lỗ hổng bảo mật của Lido là gì và mức độ ảnh hưởng ra sao?
Lido xác nhận lỗ hổng liên quan đến hợp đồng validator permissionless và Lido CSM, ảnh hưởng đến quá trình kiểm tra rút tiền nhưng không gây thiệt hại cho người dùng hoặc node.
<pTheo báo cáo của Lido vào ngày 1/8/2024, lỗ hổng chưa từng bị khai thác và không ảnh hưởng đến các holder stETH hay node vận hành CSM. Điều này bảo đảm an toàn cho hệ sinh thái staking lớn của Ethereum.
“Lỗ hổng đã được phát hiện và xử lý kịp thời, đảm bảo hệ thống vận hành an toàn cho tất cả người dùng và node vận hành.”
CEO Lido, tháng 8/2024
Lỗ hổng này xuất hiện trong hợp đồng sử dụng cho việc xác thực rút tiền từ validator, một phần quan trọng trong quy trình staking. Việc nhanh chóng phát hiện và nâng cấp patch với các biện pháp kiểm soát đã giúp ngăn ngừa rủi ro tiềm tàng ở mức cao.
Giải pháp khắc phục lỗ hổng được Lido áp dụng như thế nào?
Lido đã triển khai giải pháp oracle để vô hiệu hóa tính năng đốt bond, đồng thời đề xuất và được DAO thông qua Proposal 190 để hoàn thiện phương án fix lỗi.
Giải pháp oracle được ưu tiên để nhanh chóng ngăn chặn sự cố và bảo vệ tài sản người dùng. Việc tổ chức cuộc bỏ phiếu DAO Proposal 190 thể hiện sự minh bạch, đồng thuận trong cộng đồng, tăng cường độ tin cậy cho hệ thống.
“Sự phối hợp chặt chẽ với cộng đồng thông qua DAO là chìa khóa giúp Lido khắc phục sự cố một cách minh bạch và hiệu quả.”
Giám đốc Công nghệ Lido, tháng 8/2024
Bên cạnh đó, Lido cũng thực hiện trả thưởng bug bounty cho chuyên gia bảo mật phát hiện lỗ hổng thông qua chương trình hợp tác với Immunefi, khuyến khích việc bảo vệ an ninh tiền điện tử chủ động và có trách nhiệm.
Lỗ hổng này ảnh hưởng như thế nào đến người dùng và hệ sinh thái staking?
Người giữ stETH và vận hành node CSM hoàn toàn không bị ảnh hưởng, bảo toàn tính ổn định và an toàn hệ sinh thái staking lớn nhất Ethereum.
Việc sự cố không làm gián đoạn kinh nghiệm staking của hàng trăm nghìn người dùng giúp duy trì lòng tin đối với Lido. Thống kê năm 2024 cho thấy Lido quản lý hơn 8 tỷ USD tài sản staking, nên sự kiện này được xử lý tốt là rất quan trọng.
Đồng thời, quy trình sửa lỗi công khai và sự tham gia của cộng đồng thể hiện kinh nghiệm và sự chuyên nghiệp hàng đầu trong quản trị hệ thống DeFi.
Các biện pháp bảo mật và quản trị rủi ro nào được Lido triển khai để ngăn chặn sự cố tái diễn?
Lido tập trung xây dựng chính sách bảo mật nghiêm ngặt, thường xuyên rà soát hợp đồng thông minh và duy trì trao đổi minh bạch với cộng đồng.
Ngoài việc áp dụng các giải pháp kỹ thuật như oracle mitigation, Lido còn kêu gọi sự tiếp sức từ chuyên gia bảo mật qua chương trình bug bounty và tiến hành bỏ phiếu DAO để duy trì hiệu quả và sự đồng thuận.
Đây là mô hình quản trị rủi ro toàn diện, thể hiện năng lực chuyên môn cao và đảm bảo quyền lợi cho người dùng mạng lưới.
Những câu hỏi thường gặp
Lỗ hổng bảo mật của Lido có gây thiệt hại cho người dùng stETH không?
Không, theo báo cáo chính thức, người dùng stETH không bị ảnh hưởng và tài sản vẫn an toàn.
Giải pháp khắc phục lỗ hổng của Lido gồm những gì?
Cốt lõi là vô hiệu hóa chức năng đốt bond bằng oracle mitigation và bỏ phiếu DAO Proposal 190 để hoàn thiện phương án xử lý.
Làm thế nào Lido đảm bảo sự minh bạch trong xử lý sự cố?
Lido công bố công khai thông tin, thực hiện bỏ phiếu DAO và trả thưởng bug bounty cho chuyên gia phát hiện lỗi.
Người vận hành node CSM ảnh hưởng thế nào bởi lỗ hổng?
Không vận hành node CSM nào bị ảnh hưởng, hệ thống vẫn an toàn và ổn định.
Vai trò của cộng đồng trong việc xử lý lỗ hổng này là gì?
Cộng đồng tham gia bỏ phiếu DAO quyết định phương án xử lý, góp phần nâng cao độ tin cậy và minh bạch hệ thống.
