Syscoin hôm 8/6 đã đăng trên X phần phân tích ban đầu sau sự cố, xác nhận cầu nối xuyên chuỗi của họ đã bị tấn công an ninh. Kẻ tấn công đã tận dụng lỗ hổng trong cơ chế xác thực ở đường dẫn cầu nối trung kế, khiến hệ thống cầu nối hiểu nhầm các giao dịch độc hại là hợp lệ, đồng thời tạo ra khoảng 5 tỷ mã thông báo SYS chưa được ủy quyền ở phía UTXO. Dịch vụ cầu nối của Syscoin hiện đã tạm dừng, đội ngũ đã xác định được các đường dẫn xác thực bị ảnh hưởng và phương án khắc phục đã được chốt.
Cơ chế tấn công: Các chi tiết kỹ thuật đã được xác nhận
Theo phân tích ban đầu sau sự cố của Syscoin, cơ chế cốt lõi của cuộc tấn công lần này như sau: đường dẫn trung kế của cầu nối đã chấp nhận hoặc diễn giải sai bằng chứng giao dịch do kẻ tấn công cung cấp, khiến hệ thống cầu nối nhận nhầm giao dịch là hợp lệ; sau đó, thông qua đường dẫn cầu nối UTXO, hệ thống đã tạo ra khoảng 5 tỷ SYS đầu ra chưa được ủy quyền.
Đây là một kiểu tấn công vượt qua xác thực (validation bypass), chứ không phải hành vi trộm trực tiếp thông qua việc đánh cắp khóa riêng. Địa chỉ ban đầu bị ảnh hưởng là sys1qgaelv690g7wwp2xchfdh0enf5uewzq5sm9wvcw, và sau đó số tiền đã bị chi tiêu tiếp cũng như bị tách nhỏ.
Trong phân tích hậu kiểm, Syscoin cung cấp ba giao dịch liên quan với mã băm (hash) có thể được kiểm tra công khai trên trình duyệt Syscoin BlockBook.
Các hành động đã thực hiện và trạng thái khắc phục
Theo thông cáo chính thức của Syscoin, các hành động được đội ngũ thực hiện bao gồm: tạm dừng ngay dịch vụ cầu nối; liên hệ với sàn giao dịch và các đối tác liên quan, yêu cầu đưa vào danh sách đen hoặc đóng băng các khoản tiền gửi SYS liên quan đến đường dẫn UTXO bị nhiễm và mọi chi tiêu phát sinh của chúng, hoặc giám sát chặt chẽ; tiếp tục truy vết các quỹ bị ảnh hưởng và phối hợp với nhà cung cấp hạ tầng cũng như các đối tác hệ sinh thái.
Về tiến độ khắc phục: đội ngũ đã xác định được các đường dẫn xác thực bị ảnh hưởng, phương án khắc phục đã được xác định và đang được triển khai cũng như rà soát; sau khi chốt đường lối khắc phục, đội ngũ sẽ đồng thời xác định đúng quy trình để sửa các đầu ra SYS chưa được ủy quyền và trung hòa tác động của chúng lên mạng.
Câu hỏi thường gặp
5 tỷ SYS được tạo ra trong cuộc tấn công này có đại diện cho số SYS thực sự đang lưu hành không?
Theo giải thích của Syscoin, đây là các đầu ra SYS được tạo chưa được ủy quyền ở phía UTXO thông qua lỗ hổng xác thực, thuộc loại hàng giả chứ không phải là SYS thật bị đánh cắp từ các địa chỉ khác. Syscoin xác nhận đang phối hợp với sàn giao dịch để ngăn các UTXO bị nhiễm được nạp vào hoặc giao dịch, đồng thời cho biết một phần của phương án khắc phục bao gồm việc xác định “quy trình đúng để sửa các đầu ra SYS chưa được ủy quyền và trung hòa tác động của chúng lên mạng”.
Dịch vụ cầu nối Syscoin khi nào có thể hoạt động lại?
Theo thông cáo của Syscoin, dịch vụ cầu nối chỉ sẽ khôi phục sau khi hoàn tất việc triển khai phương án khắc phục, quá trình rà soát và xác định quy trình xử lý các đầu ra chưa được ủy quyền. Syscoin không cung cấp mốc thời gian khôi phục cụ thể và khuyến nghị người dùng không thực hiện bất kỳ tương tác nào trước khi cầu nối được khôi phục.
Người nắm giữ SYS thông thường (không phải người dùng cầu nối) có bị ảnh hưởng bởi sự kiện này không?
Theo giải thích chính thức của Syscoin, trọng tâm của sự kiện lần này là vấn đề xác thực ở đường dẫn trung kế của cầu nối, và tác động trực tiếp là việc tạo ra các đầu ra chưa được ủy quyền ở phía UTXO, cùng với việc các địa chỉ bị nhiễm nắm giữ một lượng lớn SYS. Syscoin đang phối hợp với sàn giao dịch để ngăn các UTXO bị nhiễm được lưu thông; phương án khắc phục cũng bao gồm việc trung hòa tác động của các đầu ra chưa được ủy quyền lên mạng. Hiện Syscoin chưa có thêm thông tin bổ sung về mức độ ảnh hưởng đối với người nắm giữ thông thường.
