Một lỗ hổng ảnh hưởng đến các quỹ trong các nhóm staking ETH 2.0 đã được vá một cách an toàn. Tối thứ Hai, người sáng lập StakeWise Dmitri Tsumak đã phát hiện ra một lỗi cho phép các nhà khai thác nút loại bỏ tiền khỏi các nhóm staking ETH 2.0.
Đang được điều tra thêm, lỗi này cũng được tìm thấy ảnh hưởng đến Lido, nhóm eth 2.0 lớn nhất hiện nay trên Ethereum, với tổng giá trị bị khóa là 4,66 tỷ USD.
Mặc dù các nhà vận hành nút được lựa chọn bởi Rocket Pool và Lido là đáng tin cậy, một lỗ hổng nghiêm trọng trong kiến trúc hợp đồng thông minh chi phối các giao thức đã được phát hiện. Trong khi lỗi chưa được vá, khoảng 100 ETH tiền của người dùng có nguy cơ bị mất trắng.
Sau khi Tsumak báo cáo lỗi bằng bí danh, nhóm Rocket Pool đã nhanh chóng thông báo cho Lido rằng tiền trên giao thức của nó cũng có nguy cơ bị mất. Đến sáng hôm sau, cả hai giao thức đã thực hiện các biện pháp để đảm bảo sự an toàn nguồn tiền của người dùng. Lỗi này được xác định chỉ 24 giờ trước khi Rocket Pool được phát hành trực tiếp trên mạng chính Ethereum; Việc côn bố công chúng đã bị hoãn lại.
Rocket Pool và Lido đã thực hiện các bản vá tạm thời để đảm bảo tiền của người dùng an toàn, nhưng vấn đề vẫn chưa được khắc phục hoàn toàn. Cả hai giao thức đang làm việc hướng tới một giải pháp lâu dài hơn cho việc vận hành nút. Sau khi vụ việc được giải quyết, các bên liên quan đã lên phương tiện truyền thông xã hội để trao đổi với cộng đồng về những gì đã xảy ra. Rocket Pool đã bày tỏ lòng biết ơn của mình đối với Tsumak vì đã báo cáo lỗi, mặc dù là người sáng lập của đối thủ Rocket Pool StakeWise.
Cả Rocket Pool và Lido đã đồng ý trả cho Tsumak 100.000 đô la để xác định vấn đề, số tiền tối đa được nêu chi tiết trong chương trình tiền thưởng lỗi của Lido. Mặc dù các lỗ hổng trong các giao thức DeFi không phải là hiếm, nhưng chúng thường được xác định trước khi tin tặc có thể khai thác chúng. Vào tháng 8, Samzcsun của Paradigm.xyz đã phát hiện ra lỗ hổng trị giá 350 triệu USD trong các hợp đồng thông minh MISO của SushiSwap. Việc khai thác đã được xác định và khắc phục trước khi tin tặc có thể lấy bất kỳ khoản tiền nào. Nhóm Sushi đã trả cho Samzcsun khoản tiền thưởng 1 triệu USDC cho sự hỗ trợ của anh ta trong việc xác định và sửa chữa lỗi.
Theo cryptobriefing
