Một sự kiện hiếm hoi và tích cực đã xảy ra trong tuần này trong lĩnh vực tiền điện tử, khi một người dùng đã khôi phục được số tiền của mình sau khi mất 100 ETH do lỗi ví.
Việc khôi phục này là nhờ hành động của nhóm Safe Wallet và sự nhạy bén của các nhà phát triển mũ trắng tại Protofire.
Mất 100 ETH Do Lỗi Ví—Sau Đó Được Giải Cứu Ngoạn Mục
Sự việc diễn ra khi người dùng Ethereum lâu năm khalo_0x trên X (Twitter) cố gắng chuyển 100 ETH từ Ethereum Mainnet sang chuỗi Base. Anh đã sử dụng giao diện cầu nối chính thức của Safe Wallet.
Theo tỷ giá hiện tại, với ETH đang giao dịch ở mức 2.635 đô la tại thời điểm này, khoản chuyển này trị giá hơn 263.500 đô la.
Hiệu suất giá Ethereum (ETH). Nguồn: BeInCryptoKhông hề hay biết, một lỗi trải nghiệm người dùng nghiêm trọng trong công cụ cầu nối đã cho phép chuyển sang một ví hợp đồng thông minh có vẻ như là của anh.
Tuy nhiên, ví này lại do một thực thể khác kiểm soát.
Nguyên nhân gốc rễ nằm ở việc Khalo sử dụng phiên bản cũ của Safe (v1.1.1), được triển khai vào năm 2020. Phiên bản kế thừa này ra đời trước các xem xét đa chuỗi và thiếu các biện pháp bảo vệ hiện nay đã trở nên tiêu chuẩn ở các phiên bản mới hơn.
Do đó, một kẻ tấn công, hay ít nhất ban đầu có vẻ như vậy, đã triển khai trước một bản sao địa chỉ ví của Khalo trên Base, nhưng với cấu hình chủ sở hữu khác. Bằng cách này, họ đã hiệu quả chiếm đoạt số tiền ngay khi được chuyển qua cầu.
"Tôi đã mất toàn bộ số tiết kiệm của mình chỉ trong một cú nhấp chuột khi sử dụng Safe đêm qua. Điều đó xảy ra sau 8 năm nắm giữ ETH và tránh các âm mưu lừa đảo. Một lỗi trải nghiệm người dùng trong tính năng Cầu nối chính thức ngầm cho rằng địa chỉ đích là Safe của tôi trên Base. Nhưng không phải," Khalo đã than thở trong một bài đăng.
Bài tweet đã thu hút sự chú ý từ cộng đồng tiền điện tử, bao gồm cả nhóm Safe. Nhà phát triển Tschubotz.eth đã điều tra và phát hiện ra rằng địa chỉ Base kiểm soát ETH được chuyển qua không hề có ý đồ xấu.
Phiên Bản Ví Lỗi Thời Đã Mở Đường Cho Khai Thác Đa Chuỗi
Thay vào đó, nó đã được triển khai bởi Protofire, một hãng phát triển mũ trắng đã chủ động triển khai hàng trăm ví Safe v1.1.1 trên Base để ngăn chặn các kẻ tấn công mũ đen làm điều tương tự.
"Không giống như các tài khoản do người dùng sở hữu (EOA), các tài khoản thông minh như Safe được quản lý bởi mã hợp đồng thông minh đã được triển khai. Về mặt kỹ thuật, có thể triển khai một tài khoản thông minh với cấu hình triển khai giống nhau (cùng các người ký) trên các chuỗi khác nhau tại cùng một địa chỉ (sử dụng triển khai không điều kiện)... Nhưng trường hợp này khác... Phiên bản tài khoản thông minh từ thời điểm đó (v1.1.1) chưa được viết với góc nhìn đa chuỗi, do đó bất kỳ ai cũng có thể triển khai một tài khoản thông minh trên một chuỗi khác với cấu hình hoàn toàn khác tại cùng một địa chỉ," đồng sáng lập Safe Lukas Schor đã giải thích.
Sau khi xác minh danh tính của Khalo, Protofire đã nhanh chóng hoàn trả đầy đủ 100 ETH. Một giao dịch chuyển đầy đủ thành công đã được thực hiện sau một giao dịch thử nghiệm, giải quyết khủng hoảng chỉ trong vài giờ.
"Đây là một trong những câu chuyện về tiền điện tử thú vị nhất mà tôi đã thấy từ lâu," Haseeb Qureshi, Đối tác Quản lý tại Dragonfly, cho biết.
Sự việc này nhấn mạnh nhu cầu khẩn cấp về các biện pháp bảo vệ người dùng tốt hơn khi các ví tiền điện tử phát triển trong các hệ sinh thái đa chuỗi.
Phiên bản cập nhật của Safe v1.2.0 hiện đã bao gồm các biện pháp bảo vệ chống lại loại khai thác này bằng cách thay đổi cách tính toán muối CREATE2 trong quá trình triển khai hợp đồng.
Công cụ cầu nối cũng đã được nâng cấp để đưa ra cảnh báo nếu mã hợp đồng thông minh xung đột tồn tại tại địa chỉ đích.
Tuy nhiên, sự việc này vẫn là một lời nhắc nhở đáng suy ngẫm rằng người dùng vẫn dễ bị tổn thương bởi các lỗi vi tế, không rõ ràng.
"... chúng tôi vẫn đang ở giai đoạn mà người dùng được yêu cầu thực hiện các giao dịch thử nghiệm trước khi chuyển số tiền lớn," Schor bổ sung.
Mặc dù ban đầu gây tổn thương, nhưng câu chuyện của Khalo đã kết thúc với việc khôi phục lại số tiền của anh.
