Tôi vừa xem xét một trường hợp gần như trong phim: XRP Ledger suýt bị hack mất $80 tỷ đô la, nhưng đã bị ngăn chặn kịp thời.

Mọi chuyện xảy ra vào tháng 2 khi Cantina, một công ty kiểm toán an ninh, phát hiện ra một lỗi logic nghiêm trọng trong bản vá theo lô (XLS-56). Kỹ sư Pranamya Keshkamat là người phát hiện ra, và điều thú vị là ngay cả bot an ninh AI của Cantina cũng đã báo cáo lỗi này trong quá trình thử nghiệm.

Lỗ hổng nằm ở quá trình xác thực chữ ký. Cơ bản, bản vá theo lô cho phép nhiều giao dịch nội bộ diễn ra trong một giao dịch bên ngoài, giúp tăng hiệu quả. Nhưng có một lỗi trong vòng lặp của cơ chế xác thực có thể cho phép kẻ tấn công chuyển tiền mà không cần khóa riêng. Nếu hệ thống phát hiện ra một người ký liên kết với một tài khoản mới, xác thực sẽ được chấp thuận ngay lập tức và vòng lặp thoát ra trước khi hoàn tất các kiểm tra an ninh quan trọng.

Điều nghiêm trọng là điều này chưa từng kích hoạt trên mainnet. Bản vá dự kiến sẽ kích hoạt vào ngày 3 tháng 3, nhưng Cantina đã báo cáo vấn đề trước đó. Nhóm Ripple phản ứng nhanh chóng: cảnh báo các validator, dừng bỏ phiếu và phát hành Rippled 3.1.1 như một bản vá khẩn cấp.

Hari Mulackal của Spearbit đã nói rõ: nếu lỗ hổng này bị khai thác, đó sẽ là vụ hack lớn nhất về giá trị bằng đô la trong lịch sử. Sổ cái ledger mà XRP đóng vai trò trong hệ sinh thái tiền điện tử quan trọng đến mức một lỗ hổng như vậy sẽ ảnh hưởng toàn bộ hệ thống.

Điều tôi chú ý là cách hệ thống phát hiện hoạt động. Vai trò của các kiểm toán an ninh như Cantina rất quan trọng trong những trường hợp này. Nếu không có điều đó, không có hành động nhanh của Ripple, không có các validator bỏ phiếu phản đối ngay lập tức, thì chúng ta đang nói về một thảm họa tài chính chưa từng có.

Loại chuyện này xảy ra nhiều hơn mọi người nghĩ. Đó là lý do tại sao vai trò của sổ cái ledger của các dự án như thế này phụ thuộc rất nhiều vào an ninh và các đội ngũ luôn cảnh giác. Rất quan trọng để luôn để ý đến vấn đề này.