Trong một diễn biến đáng ngạc nhiên, Monero, loại tiền điện tử tập trung vào quyền riêng tư phổ biến, đã tiết lộ một hành vi khai thác ví của Hệ thống huy động vốn cộng đồng (Community Crowdfunding System’ – CCS) xảy ra vào ngày 1 tháng 9 năm 2023.
Kẻ tấn công đã rút hết 2,675.73 XMR trong ví, tương đương với khoảng 460,000 USD. Sự cố này đã làm dấy lên mối lo ngại về tính bảo mật và quyền riêng tư của blockchain Monero.
Cuộc tấn công diễn ra trong một loạt chín giao dịch, trong đó thủ phạm đã lấy được toàn bộ số dư từ ví CCS.
Vụ việc vẫn nằm trong tầm ngắm cho đến gần đây khi Moonstone Research, một công ty bảo mật blockchain, xác định được hành động của kẻ tấn công.
Moonstone Research đã theo dõi các giao dịch của kẻ tấn công và cho rằng việc khai thác được thực hiện bởi một người dùng ví Monerujo, người đã kích hoạt một tính năng có tên là “PocketChange”.
Monerujo là ví Monero không giám sát dựa trên Android, cung cấp tính năng PocketChange, được thiết kế để nâng cao mô hình bảo mật của Monero bằng cách tạo nhiều “pockets” hoặc “enote”.
Phân tích việc khai thác các tính năng bảo mật của Monero
Tính năng PocketChange của Monerujo hoạt động bằng cách chia các đồng Monero lớn hơn thành các phần nhỏ hơn và phân phối chúng vào mười túi khác nhau.
Sự phân mảnh này đảm bảo rằng các đồng coin không hợp nhất lại, cho phép người dùng chi tiêu từ nhiều túi khác nhau ngay lập tức mà không cần thời gian chờ đợi thông thường.
Theo phát hiện của Moonstone Research, kẻ tấn công đã khai thác tính năng này để tạo ra 11 enote đầu ra, một hành vi không phù hợp với các giao dịch thông thường.
Moonstone Research bày tỏ sự tin tưởng vào đánh giá của họ, bất kể kẻ tấn công sử dụng Monerujo phiên bản 3.3.7 hay 3.3.8.
Phóng viên tiền điện tử Trung Quốc Colin Wu, người được biết đến với những hiểu biết sâu sắc về ngành công nghiệp tiền điện tử, đã cân nhắc về vụ hack.
Wu đã chia sẻ những quan sát của mình trên trang X chính thức của mình, Wu Blockchain và nhấn mạnh giả định của SlowMist rằng lỗ hổng này có thể là “lỗ hổng trong mô hình quyền riêng tư của Monero”.
Mặc dù nguồn gốc của cuộc tấn công vẫn còn là một bí ẩn, nhưng vụ việc đã đặt ra câu hỏi về tính bảo mật của blockchain Monero và tính hiệu quả của các tính năng bảo mật của nó.
The Monero team announced that the community crowdfunding system CCS Wallet was attacked on September 1, 2023, and the entire balance of 2,675.73 XMR (approximately $384,000) was stolen. So far, the source of the vulnerability cannot be determined. SlowMist believes that it…
— Wu Blockchain (@WuBlockchain) November 5, 2023
Ví CCS, đóng vai trò là hệ thống tài trợ cho các dự án hướng đến cộng đồng, có tổng số dư là 2,675.73 XMR cho đến ngày 1 tháng 9 năm 2023.
Số dư này được tích lũy thông qua quyên góp từ cộng đồng và nhằm hỗ trợ các sáng kiến khác nhau trong hệ sinh thái.
Việc khai thác ví CCS đã làm dấy lên mối lo ngại về tính bảo mật của mạng Monero. Quyền riêng tư là nguyên lý trọng tâm trong thiết kế của các công ty, nhưng sự cố này đã đặt ra câu hỏi về việc liệu các tính năng về quyền riêng tư có thể bị khai thác hay không.
Trong khi các nhà phát triển Monero liên tục làm việc để nâng cao tính bảo mật của mạng, thì sự cố này như một lời nhắc nhở rằng không có hệ thống nào hoàn toàn miễn nhiễm với các lỗ hổng.
Tin Tức Bitcoin tổng hợp.
