Gần đây tôi đã phát hiện ra điều gì đó khiến tôi suy nghĩ về tính mong manh của an ninh trong blockchain, ngay cả trong các dự án đã được thiết lập. Sổ cái XRP đã suýt bị tấn công với quy mô lịch sử, nhưng tốc độ phản ứng của nhóm đã ngăn chặn kịp thời.

Mọi chuyện bắt đầu khi Cantina, một công ty kiểm toán an ninh, phát hiện ra một lỗi logic nghiêm trọng trong bản vá theo lô (XLS-56) sắp được kích hoạt trên mạng lưới. Vấn đề nằm ở cách xác thực các chữ ký trong các giao dịch theo lô. Cơ bản, có một lỗi trong vòng lặp xác thực khiến cho các kiểm tra an ninh quan trọng bị bỏ qua. Nếu kẻ tấn công khai thác được, chúng có thể chuyển tiền mà không cần khóa riêng tư.

Điều thú vị là vai trò của sổ cái trong trường hợp này rất quan trọng: vì bản vá chưa được kích hoạt trên mainnet, không có quỹ thực nào gặp nguy hiểm. Nhóm của Ripple đã hành động ngay sau khi phát hiện. Họ cảnh báo các validator, những người đã bỏ phiếu phản đối bản cập nhật dự kiến vào ngày 3 tháng 3, và phát hành Rippled 3.1.1 như một bản vá khẩn cấp.

Hari Mulackal của Spearbit tóm tắt rất chính xác: nếu điều này bị khai thác, đó sẽ là vụ trộm lớn nhất bằng đô la trong lịch sử crypto, với gần 80 tỷ đô la bị đe dọa trực tiếp. Nói cách khác, gần như toàn bộ vốn hóa thị trường của XRP.

Điều khiến tôi chú ý là cách mà sổ cái ledger và kiến trúc của nó có thể vừa là điểm mạnh vừa là điểm yếu. Một lỗi trong logic xác thực chữ ký có thể đã làm tổn hại toàn bộ hệ sinh thái. Nhưng cũng cho thấy rằng khi các nhóm phát triển coi trọng an ninh và hành động nhanh chóng, có thể tránh được thảm họa.

Cantina đã xác định vấn đề vào ngày 19 tháng 2 nhờ hệ thống kiểm toán hỗ trợ bằng AI của họ. Nếu không có điều đó, có lẽ bản vá đã được kích hoạt mà không gặp vấn đề gì và mọi thứ đã rất khác. Đây là lời nhắc nhở về tầm quan trọng của việc kiểm toán an ninh nghiêm ngặt trong lĩnh vực này.