Key Takeaways:
(P1) Blockchain Litecoin đã thực hiện một đợt tái cấu trúc 13 khối đáng kể vào ngày 25 tháng 4 để đảo ngược một cuộc tấn công khai thác nhắm vào tính năng bảo mật Mimblewimble Extension Blocks (MWEB), viết lại hơn ba giờ lịch sử giao dịch để vô hiệu hóa cuộc tấn công.
(P2) "Một lỗi zero-day đã tấn công các nhóm khai thác lớn... cho phép các giao dịch MWEB không hợp lệ thông qua các nút chưa được cập nhật," tài khoản Litecoin chính thức cho biết trong một tuyên bố. Nhóm đã xác nhận lỗi đã được vá hoàn toàn và mạng đã ổn định, nhấn mạnh rằng tất cả các giao dịch hợp lệ của người dùng trong thời gian đó đều không bị ảnh hưởng.
(P3) Nguyên nhân gốc rễ của việc khai thác là một lỗi cho phép các giao dịch gian lận được xử lý bởi các nút khai thác chưa áp dụng các bản cập nhật phần mềm gần đây. Dữ liệu on-chain cho thấy 13 khối được tái cấu trúc mất hơn ba giờ để tạo ra, một sự sai lệch đáng kể so với mục tiêu thông thường là 32,5 phút, điều này ban đầu khiến các nhà quan sát nghi ngờ có một cuộc tấn công 51%.
(P4) Sự cố làm nổi bật một lỗ hổng nghiêm trọng trong các mạng Proof-of-Work, nơi các nút không được cập nhật có thể tạo ra các lỗ hổng bảo mật. Giao thức cross-chain NEAR Intents ban đầu đã báo cáo mức độ rủi ro 600.000 USD từ các giao dịch không hợp lệ, mặc dù tổn thất thực tế hiện dự kiến sẽ ở mức tối thiểu vì các giao dịch đã được đảo ngược khỏi chuỗi chính. Sự kiện này đã khiến người sáng lập Zcash, Zooko Wilcox, lưu ý rằng các cuộc tấn công rollback như vậy không phải là mới đối với các chuỗi PoW.
Véc-tơ tấn công tập trung vào lớp bảo mật MWEB của Litecoin, cho phép thực hiện các giao dịch ẩn danh. Lỗi zero-day đã cung cấp một con đường cho những kẻ tấn công rút tiền (peg-out) sang các sàn giao dịch phi tập trung bên thứ ba mà không cần các mã thông báo tương ứng được xử lý chính xác trên chuỗi gốc, tạo cơ hội cho việc chi tiêu gấp đôi.
Phân tích on-chain sớm từ các nhà quan sát như CEO Aurora Labs Alex Shevchenko và nhà phân tích Zacodil đã chỉ ra thời gian tạo khối kéo dài và việc tái cấu trúc, làm dấy lên lo ngại trong cộng đồng về một cuộc tấn công 51%, nơi một thực thể duy nhất giành đủ sức mạnh khai thác để kiểm soát mạng lưới. Tuy nhiên, tuyên bố chính thức từ nhóm Litecoin đã điều chỉnh lại sự kiện này không phải là một cuộc chiếm đoạt thù địch, mà là một hành động khắc phục của mạng lưới để loại bỏ một chuỗi không hợp lệ được tạo ra bởi cuộc tấn công.
Cuộc tấn công thành công và việc tái cấu trúc sau đó là một lời nhắc nhở rõ ràng về rủi ro bảo mật liên quan đến phần mềm lỗi thời trong các mạng phi tập trung. Việc các nút chưa được cập nhật là cổng vào cho cuộc tấn công nhấn mạnh trách nhiệm tập thể của những người khai thác và người vận hành nút trong việc duy trì tính toàn vẹn của mạng.
"Đây không phải là một sự cố riêng lẻ. Đã có nhiều cuộc tấn công rollback và chi tiêu gấp đôi chống lại các blockchain chỉ sử dụng Proof-of-Work," người sáng lập Zcash Zooko Wilcox đã viết trên X, đề cập đến các vấn đề trong quá khứ trên các mạng như Monero và Grin. Sự kiện Litecoin bổ sung thêm một nghiên cứu điển hình vào cuộc tranh luận đang diễn ra về các mô hình bảo mật của các cơ chế đồng thuận blockchain khác nhau. Mặc dù việc tái cấu trúc đã vô hiệu hóa thành công mối đe dọa tức thời, nhưng nó cũng làm bùng phát lại các cuộc thảo luận về sự đánh đổi giữa tính bất biến và khả năng sửa chữa các lỗi thảm khốc.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.
