Uniswap gặp lỗ hổng bảo mật nghiêm trọng
ScaleBit, một công ty con của đơn vị kiểm toán bảo mật BitsLab, đã cảnh báo về một lỗ hổng có thể ảnh hưởng đến “tất cả tài sản lưu trữ” trong ví Web3 của sàn giao dịch phi tập trung (DEX) Uniswap, ScaleBit đã thông báo với TinTucBitcoin vào ngày 13 tháng 1.
Lỗ hổng này cho phép kẻ tấn công có quyền truy cập vật lý vào thiết bị có thể bỏ qua các cơ chế xác thực của ví và trực tiếp truy xuất cụm từ seed lưu trữ trên thiết bị, theo tuyên bố của ScaleBit.
Cụm từ seed của ví Web3, là một chuỗi từ ngẫu nhiên từ 12 đến 24 từ, cho phép kiểm soát hoàn toàn tài sản của ví trên mọi thiết bị.
ScaleBit cho biết: “[B]ất kỳ ai có quyền truy cập vào thiết bị đã mở khóa có thể nhận được cụm từ seed của ví trong vòng chưa đầy ba phút”, ScaleBit bổ sung thêm rằng “[đáng lo ngại], phiên bản này vẫn tồn tại trong phiên bản mới nhất của ứng dụng”.
ScaleBit khuyến cáo người dùng ví Uniswap nên tránh chia sẻ thiết bị với người khác như một biện pháp phòng ngừa cho đến khi lỗ hổng được khắc phục.
Cụm từ phục hồi ví Web3 của Uniswap. Nguồn: ScaleBit
Thiệt hại từ khai thác lỗ hổng
Trong năm 2024, số tiền điện tử bị mất do các cuộc tấn công mạng đã tăng 40% so với năm trước, đạt khoảng 2,3 tỷ USD, công ty bảo mật Cyvers thông báo với TinTucBitcoin vào tháng 12.
Sự gia tăng này phản ánh sự gia tăng các vi phạm kiểm soát truy cập, đặc biệt là ở các sàn giao dịch tập trung và các đơn vị lưu ký tiền điện tử, theo lời ông Deddy Lavid, đồng sáng lập và CEO của Cyvers. Các vi phạm cụm từ mnemonic là một loại vi phạm kiểm soát truy cập phổ biến.
Tổng số tiền mất hàng năm. Nguồn: Cyvers
Đáng chú ý, thiệt hại từ các vụ lừa đảo, khai thác lỗ hổng và hack tiền điện tử đã giảm dần trong những tháng cuối năm 2024, với tháng 12 ghi nhận số lượng bị đánh cắp thấp nhất, công ty bảo mật blockchain CertiK nói trong một bài đăng trên X ngày 31 tháng 12.
CertiK cho biết tháng 12 đã chứng kiến 28,6 triệu USD biết đến bị mất do các cuộc tấn công, hack và lừa đảo, so với 63,8 triệu USD trong tháng 11 và 115,8 triệu USD trong tháng 10.
Công ty bảo mật blockchain PeckShield đã chia sẻ dữ liệu tương tự trong một bài đăng trên X ngày 1 tháng 1. Công ty này đã ghi nhận thiệt hại do hack là 24,7 triệu USD trong tháng 12, giảm 71% so với tháng 11.
