Các nhà nghiên cứu đã tiết lộ thông tin chi tiết về một lỗ hổng nghiêm trọng hiện đã được vá trong máy ảo Move (Move Virtual Machine) được sử dụng trong mạng blockchain Aptos.
Trong một bài chia sẻ được công bố vào đầu tháng này, Numen Cyber Labs cho biết lỗ hổng bảo mật "có thể khiến các nút (node) Aptos gặp sự cố và gây ra từ chối dịch vụ".
Aptos là một mạng mới gia nhập vào không gian blockchain, đã ra mắt mạng chính (mainnet) vào ngày 17/10/2022. Nó có nguồn gốc từ hệ thống thanh toán Diem stablecoin (một loại tiền điện tử) do Meta đề xuất, công ty cũng đã giới thiệu một ví tiền điện tử [tồn tại trong thời gian ngắn] có tên là Novi.
Mạng được xây dựng bằng ngôn ngữ lập trình Move, một hệ thống dựa trên Rust được thiết kế để triển khai và thực thi các hợp đồng thông minh (smart contracts) trong một môi trường thực thi (runtime environment) an toàn, còn được gọi là Move Virtual Machine (hay MoveVM).
Lỗ hổng, được xác định bởi Numen Cyber Labs, bắt nguồn từ mô-đun "stack_usage_verifier.rs" của ngôn ngữ Move, một thành phần xác thực các bytecode instruction trước khi thực thi trong MoveVM.
Cụ thể, nó liên quan đến một lỗ hổng integer overflow trong ngôn ngữ lập trình stack-based Web3, có thể dẫn đến hành vi không mong muốn và gây ra sự cố cho hệ thống.
Công ty bảo mật giải thích rằng: “Vì lỗ hổng này xảy ra trong mô-đun thực thi Move được dùng cho các node trên chuỗi, nếu mã bytecode được thực thi, nó sẽ gây ra một cuộc tấn công từ chối dịch vụ”.
"Nghiêm trọng hơn, nó có thể khiến mạng Aptos bị ngừng hoạt động hoàn toàn và ảnh hưởng nghiêm trọng đến sự ổn định của nút".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đang tìm kiếm những người đóng góp cho một dự án mã nguồn mở mới được gọi là Graph for Understanding Artifact Composition (GUAC), như một phần của nỗ lực không ngừng nhằm tăng cường bảo mật chuỗi cung ứng phần mềm.
Tín nhiệm mạng | Thời gian qua, các quảng cáo về những ứng dụng, trang web cho vay tiền nhanh với lãi suất thấp đang lan tràn trên các trang mạng xã hội, nhưng thực chất, các ứng dụng vay tiền này là biến tướng của hình thức tín dụng đen.
Tín nhiệm mạng | HelpSystems, công ty đứng sau nền tảng phần mềm thương mại Cobalt Strike, đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng thực thi mã từ xa có thể cho phép kẻ tấn công kiểm soát các hệ thống bị nhắm mục tiêu.
Tín nhiệm mạng | Các cơ quan thực thi pháp luật ở Pháp, phối hợp với Tây Ban Nha và Latvia, đã phá vỡ một vòng vây tội phạm mạng sử dụng một công cụ hack để đánh cắp ô tô mà không cần sử dụng chìa khóa vật lý.
Tín nhiệm mạng | Các tác nhân đe dọa đằng sau Venus Ransomware đang tấn công vào các dịch vụ Remote Desktop có thể truy cập công khai để mã hóa các thiết bị Windows.
Tín nhiệm mạng | Thông tin chi tiết về một lỗ hổng bảo mật trong hệ thống Windows Common Log File (CLFS) đã được các nhà nghiên cứu tiết lộ công khai. Lỗ hổng, hiện đã được vá, có thể bị kẻ tấn công khai thác để leo thang quyền trên các máy bị xâm nhập.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
