White Hat Hacker tiết lộ lỗ hổng nghiêm trọng trong Scroll, đồng sáng lập bảo vệ bảo mật giao thức

Hacker mũ trắng Pavel Shabarkin công khai tiết lộ một lỗ hổng nghiêm trọng trên mạng Ethereum Layer 2 cuộn giấy thông qua nền tảng truyền thông xã hội X. Ông tuyên bố rằng vấn đề này có thể đã dừng blockchain, ảnh hưởng đến hơn 100 triệu đô la tổng giá trị bị khóa (TVL). Mặc dù vậy, Scroll được cho là đã không giải quyết vấn đề một cách hiệu quả.

Theo Pavel Shabarkin, “Bất kỳ ai cũng có thể buộc Scroll L2 vào mộtdefinite re-org, dừng chuỗi để không có giao dịch nào của người dùng được đưa vào khối và chuỗi sẽ không tiến triển. Tất cả tiền trên L2 sẽ bị đóng băng.”

Tin tặc cũng bày tỏ sự thất vọng với phản hồi của Scroll về vấn đề này, lưu ý rằng dự án đã hạ thấp báo cáo của anh ta và không tham gia vào giao tiếp có ý nghĩa, thay vào đó chọn cách im lặng. Ngoài ra, anh ta chỉ ra rằng Immunefi, nền tảng xử lý báo cáo lỗ hổng, đã không phân loại chính xác vấn đề, ngay cả sau khi anh ta yêu cầu đánh giá lại. Do đó, Pavel Shabarkin đã chọn công khai những phát hiện của mình để nâng cao nhận thức về việc Scroll rõ ràng thiếu chuyên môn về bảo mật.

Vấn đề được Pavel Shabarkin báo cáo gây ra rủi ro cho mạng Scroll, với khả năng chuỗi bị dừng mà không mất chi phí cho kẻ tấn công. Trong quá trình tấn công, việc rút tiền sẽ vẫn bị chặn, có khả năngdefitối đa, vì kẻ tấn công có thể duy trì việc dừng lại mà không tốn bất kỳ chi phí nào. Sự gián đoạn này trong quá trình sản xuất khối sẽ ngăn chặn tài chính phi tập trung nhạy cảm với thời gian (DeFi) các hành động, chẳng hạn như thêm tiền để tránh thanh lý hoặc cập nhật giá oracle, khiến tiền của người dùng gặp rủi ro đáng kể. Ngoài ra, trình sắp xếp sẽ ngừng thu phí giao dịch vì không có giao dịch người dùng Lớp 2 nào có thể được đưa vào các khối. Lỗ hổng này đặc biệt đáng lo ngại vì bất kỳ ai có quyền truy cập internet đều có thể kích hoạt cuộc tấn công, khiến nó trở thành mối đe dọa dễ tiếp cận.

Ye Zhang trả lời các tuyên bố của hacker, làm rõ về bảo mật của Scroll Protocol 

Đáp lại, Ye Zhang, đồng sáng lập Scroll, giải thích rằng các tuyên bố của tin tặc xuất phát từ sự hiểu lầm cơ bản về cách thức hoạt động của giao thức. Cụ thể, tin tặc đã bỏ qua kiểm tra CCC nhẹ mà trình sắp xếp đã thực hiện trước Nâng cấp Euclid .

Ông nhấn mạnh rằng, “PoC không giữ nguyên. Nhật ký dường như không hiển thị reorg. Light CCC đã theo dõi các lệnh gọi biên dịch trước và bỏ qua các giao dịch như vậy mà không kích hoạt bất kỳ reorg nào.”

Ye Zhang nhấn mạnh thêm rằng Scroll cam kết đảm bảo an ninh giao thức bằng cách đầu tư hơn 1 triệu đô la vào hoạt động kiểm toán và đánh giá cao sự đóng góp của các hacker mũ trắng. 

Scroll là giải pháp mở rộng Ethereum Layer 2 tận dụng các rollup Zero-Knowledge (ZK) để cải thiện thông lượng giao dịch, giảm phí gas và bảo vệ tính bảo mật và phi tập trung của Ethereum. Bằng cách kết hợp zkEVM (Máy ảo Ethereum Zero-Knowledge), Scroll đảm bảo khả năng tương thích hoàn toàn với cơ sở hạ tầng hiện có của Ethereum, cho phép các nhà phát triển triển khai các ứng dụng phi tập trung (dApp) mà không cần phải sửa đổi mã của họ.