Gót chân Achilles của Blockchain: Làm thế nào các trình xác thực trở thành mục tiêu của mối đe dọa hàng tỷ đô la

Các nhà nghiên cứu đã tiến hành phân tích chuyên sâu về bảo mật blockchain, tập trung vào khía cạnh ít được khám phá hơn – bảo mật của các máy chủ trung tâm, được gọi là trình xác nhận, hỗ trợ mạng blockchain. Những trình xác thực này được cung cấp bởi InfStones, một công ty cung cấp dịch vụ đặt cược trên các giao thức blockchain khác nhau.

Các nhà nghiên cứu đã phát hiện ra một chuỗi lỗ hổng cho phép họ xâm phạm tính bảo mật của những trình xác nhận này. Nhóm nghiên cứu đã áp dụng một cách tiếp cận đặc biệt, coi trình xác thực blockchain như các máy chủ thông thường và đi sâu vào các kỹ thuật hack cổ điển.

Các lỗ hổng được phát hiện không chỉ cấp quyền kiểm soát các trình xác thực này mà còn cho phép thực thi mã và trích xuất khóa riêng, có khả năng dẫn đến tổn thất vượt quá một tỷ đô la đối với nhiều loại tiền điện tử khác nhau, bao gồm ETH, BNB, SUI và APT, cùng nhiều loại khác.

Họ bắt đầu cuộc điều tra với mạng blockchain Sui, được biết đến với tính bảo mật mạnh mẽ. Bằng cách sử dụng lệnh gọi API trên Sui Explorer, họ đã nhận được danh sách các trình xác thực và địa chỉ IP đang hoạt động. Cuộc điều tra sâu hơn đã dẫn họ đến một máy chủ cụ thể do InfStones quản lý, điều này đã thu hút sự quan tâm của họ.

Máy chủ được nhắm mục tiêu có cổng mở (55555/tcp) chạy công cụ Tailon nguồn mở, được thiết kế để đọc tệp nhật ký. Khai thác lỗ hổng trong Tailon, các nhà nghiên cứu đã đạt được Thực thi mã từ xa (RCE) trên trình xác thực Sui.

Tailon chạy với tư cách là người dùng root, mang lại cho các nhà nghiên cứu những đặc quyền quan trọng.

Chúng khai thác điểm truy cập ban đầu này và mở rộng cuộc tấn công sang các máy chủ InfStones khác bằng cách sử dụng thiết lập tương tự. Thông qua tìm kiếm của Censys, họ đã xác định được gần 80 máy chủ có cùng dịch vụ Tailon. Tuy nhiên, một số máy chủ yêu cầu xác thực cơ bản để truy cập.

Để khắc phục điều này, các nhà nghiên cứu đã tạo một tài khoản trên nền tảng InfStones và qua điều tra, họ đã phát hiện ra một API hoạt động như một proxy kết nối với Tailon. Bằng cách thiết lập máy chủ và sử dụng proxy, họ đã có được thông tin xác thực cho phép họ xác thực trên các máy chủ yêu cầu xác thực cơ bản.

Sau khi giành được quyền kiểm soát khoảng 80 nút, các nhà nghiên cứu đã báo cáo lỗ hổng ban đầu đối với InfStones vào tháng 7 năm 2023. Họ đã tìm thấy các tệp thông tin xác thực AWS trên tất cả các máy chủ trong quá trình khám phá, cho thấy rằng InfStones đã tải xuống các tệp nhị phân của mạng blockchain từ nhóm S3.

Thông tin đăng nhập bị xâm phạm có quyền truy cập đọc vào nhóm và quyền ghi, cho phép thao tác tiềm ẩn đối với các tệp nhị phân.

Khám phá sâu hơn đã phát hiện ra một dịch vụ chạy trên cổng 12345 có tên là "infd". Các nhà nghiên cứu xác định rằng dịch vụ này chạy với tư cách là người dùng root bằng cách khai thác lỗ hổng chèn lệnh trong lộ trình "nâng cấp". Tuy nhiên, xác thực JWT đặt ra một thách thức.

Các nhà nghiên cứu đã phát hiện ra một máy chủ có cài đặt CloudProvider cụ thể cho phép họ vượt qua xác thực JWT và khai thác lỗ hổng chèn lệnh. Máy chủ này được xác định là trình xác thực InfStones Aptos, đã đặt cược khoảng 150 triệu đô la.

Tác động của những lỗ hổng này là đáng kể. Kẻ tấn công khai thác những lỗ hổng này có thể lấy được khóa riêng của trình xác thực trên nhiều mạng blockchain khác nhau, có khả năng dẫn đến việc cắt giảm trình xác thực, rút tiền đặt cược hoặc đánh cắp phần thưởng đặt cược. Các trình xác nhận bị ảnh hưởng đại diện cho một phần đáng kể của mạng Ethereum và Lido, một nhà điều hành chính trong không gian.

Các nhà nghiên cứu đã tiết lộ những phát hiện của họ cho InfStones một cách có trách nhiệm và truyền đạt tác động tiềm ẩn của các lỗ hổng. InfStones tuyên bố đã khắc phục được vấn đề và các nhà nghiên cứu đã đồng ý trì hoãn việc tiết lộ công khai để có thời gian cho các nỗ lực khắc phục và luân chuyển chính.

Lido DAO đã thừa nhận lỗ hổng được báo cáo và đang tích cực hợp tác với InfoStones để giải quyết các vấn đề đã xác định. Trọng tâm là khắc phục vấn đề liên quan cụ thể đến các nút Ethereum trong cơ sở hạ tầng của InfoStones.

Mặc dù đang đạt được tiến bộ trong việc giải quyết các mối lo ngại liên quan đến Ethereum, nhưng vẫn có sự không chắc chắn về mức độ tác động đối với các trình xác thực của Lido và các mạng khác được đề cập trong báo cáo toàn diện của dWallet. Nỗ lực hợp tác nhằm mục đích điều tra kỹ lưỡng và giảm thiểu mọi hậu quả tiềm ẩn phát sinh từ các lỗ hổng bảo mật.

Nghiên cứu này nêu bật lỗ hổng về trách nhiệm giải trình và trách nhiệm liên quan đến tính bảo mật của trình xác thực mạng blockchain. Mặc dù nguồn lực đáng kể được đầu tư vào chất lượng mã và bảo mật hợp đồng thông minh, nhưng tính bảo mật của trình xác thực thường được coi là nằm ngoài phạm vi của các chương trình tiền thưởng, tạo ra điểm truy cập tiềm năng cho những kẻ tấn công.

Các nhà nghiên cứu nhấn mạnh sự cần thiết phải tăng cường tập trung vào tính bảo mật của trình xác nhận, các thành phần quan trọng của mạng blockchain.

Nhìn về phía trước

Người dùng có thể thực hiện một số bước có thể hành động để tăng cường tính bảo mật khi tham gia vào các mạng và công nghệ blockchain. Đầu tiên và quan trọng nhất, điều quan trọng là phải luôn cập nhật thông tin về bối cảnh bảo mật ngày càng phát triển của mạng blockchain.

Việc theo dõi các nguồn uy tín, các nhà nghiên cứu bảo mật và tổ chức thường xuyên chia sẻ thông tin chuyên sâu và cập nhật sẽ giúp các cá nhân, tổ chức tránh được những rủi ro, lỗ hổng tiềm ẩn.

Nếu bạn tham gia đặt cược hoặc vận hành các nút trên mạng blockchain, việc đa dạng hóa dịch vụ xác thực của bạn là một chiến lược thận trọng. Việc dựa vào một nhà cung cấp dịch vụ duy nhất sẽ làm tăng nguy cơ bị lỗ hổng hoặc bị tấn công.

Hơn nữa, việc kiểm tra an ninh thường xuyên của cơ sở hạ tầng là rất cần thiết. Các cuộc kiểm tra này phải vượt ra ngoài việc đánh giá mã và hợp đồng thông minh, mở rộng đến tính bảo mật của các trình xác thực hỗ trợ mạng.

Triển khai xác thực đa yếu tố (MFA) là một biện pháp quan trọng khác. Việc kích hoạt MFA trên tất cả các tài khoản và dịch vụ liên quan đến hoạt động blockchain sẽ bổ sung thêm một lớp bảo mật, giảm thiểu rủi ro truy cập trái phép.

Đào tạo nhận thức về bảo mật cho nhân viên quản lý cơ sở hạ tầng blockchain cũng quan trọng không kém. Nó đảm bảo rằng các cá nhân được thông tin đầy đủ về các mối đe dọa tiềm ẩn, các phương thức tấn công phổ biến và các biện pháp bảo mật tốt nhất.

Trong trường hợp phát hiện ra các lỗ hổng trong mạng hoặc dịch vụ blockchain, bạn nên tuân theo các biện pháp tiết lộ có trách nhiệm. Thông báo kịp thời cho các bên bị ảnh hưởng và hợp tác với họ để giải quyết vấn đề trước khi tiết lộ rộng rãi có thể giảm thiểu tác hại tiềm ẩn.

Ngoài ra, việc thường xuyên xem xét và kiểm tra cấu hình của các dịch vụ đám mây được sử dụng trong hoạt động blockchain là rất quan trọng. Điều này bao gồm bảo mật các dịch vụ, đóng các cổng mở không cần thiết và định cấu hình các biện pháp kiểm soát truy cập phù hợp.

Nhận thức được vai trò quan trọng của người xác nhận đối với tính bảo mật của mạng blockchain là điều cần thiết. Khuyến khích các dự án và tổ chức blockchain đưa tính năng bảo mật của trình xác nhận vào chương trình bảo mật của họ và các sáng kiến thưởng lỗi có thể đóng góp đáng kể cho một hệ sinh thái an toàn hơn.

Khuyến khích giám sát liên tục các hoạt động bất thường và truy cập trái phép vào các nút xác thực. Việc phát hiện sớm hành vi đáng ngờ có thể ngăn chặn hoặc giảm thiểu tác động của các sự cố bảo mật.

Cuối cùng, việc hỗ trợ các sáng kiến ủng hộ các chương trình bảo mật toàn diện trong không gian blockchain và đưa bảo mật trình xác thực vào các chương trình tiền thưởng sẽ góp phần giải quyết các lỗ hổng tiềm ẩn một cách hiệu quả.