Skip to main content

Cardano chiến thắng trước cuộc tấn công DDoS

Ngày 28 tháng 06 năm 2024

Mạng lưới Cardano đã chứng minh khả năng phục hồi đáng kinh ngạc trong một cuộc tấn công DDoS, duy trì hoạt động mà không cần khởi động lại hệ thống. Tác động là tối thiểu, chỉ quan sát thấy tốc độ giảm nhẹ. Ví dụ, sàn giao dịch phi tập trung SundaeSwap đã xử lý thành công 5.013 lệnh trong cuộc tấn công. Các nhà phát triển tại AnastasiaLabs đã phát hiện ra cuộc tấn công và tịch thu ADA từ kẻ tấn công. Khi nhận ra tiền của họ đang bị rút ra để đáp trả hành động của mình, như được tiết lộ trong một dòng tweet, kẻ tấn công đã dừng cuộc tấn công DDoS. Một cuộc tấn công DDoS có thể được đánh giá là không thành công. Cuộc tấn công đã chứng minh khả năng phục hồi của Cardano và chắc chắn là một bài kiểm tra áp lực thú vị cho mạng lưới.

Cuộc tấn công DDoS

Vào ngày 24 tháng 6 năm 2024, lúc 2:58 chiều, Cardano đã phải đối mặt với một cuộc tấn công DDoS kết thúc vào ngày 25 tháng 6 lúc 6:44 sáng. Kẻ tấn công đã thực hiện cuộc tấn công bằng ba ví riêng biệt, làm ngập mạng lưới bằng các giao dịch chứa tập lệnh.

Số lượng giao dịch được khởi tạo từ mỗi ví như sau:

  • Ví 1: 1.458 giao dịch
  • Ví 2: 1.856 giao dịch
  • Ví 3: 2.107 giao dịch Các cuộc điều tra cho thấy nguồn tài trợ ban đầu cho những ví này có nguồn gốc từ sàn giao dịch Kraken.

Cộng đồng Cardano sẽ rất cảm kích nếu Kraken có thể cung cấp thông tin về các ví sau:

Địa chỉ: 1qxv5hrukg48vse5lve0458ahsh4j6xjrpknhwr8elm0aarqfws07lvvnq45xvjsywj0egfskqlm4hpk8jk0twgqjjzcsavhzy6

Chiến lược cốt lõi của cuộc tấn công DDoS là làm tràn ngập mạng bằng các giao dịch spam có chứa các tập lệnh, nhằm mục đích làm cạn kiệt tài nguyên của mạng. Điều này có thể ngăn cản người dùng thông thường truy cập vào mạng.

Do Cardano hoạt động như một mạng lưới phân tán, nên mỗi node đầy đủ được yêu cầu xác thực các giao dịch. Điều này cũng ứng dụng cho các giao dịch spam, là các giao dịch hợp lệ phải trả phí. Ngay cả khi các trình xác thực hủy tuần tự hóa 194 tập lệnh rác (~16kb mỗi tập lệnh) cho mỗi giao dịch, các trình xác thực vẫn xử lý tốt các giao dịch spam.

Kẻ tấn công đã cố gắng khai thác lỗ hổng khi thực thi các tập lệnh. Kích thước của các tập lệnh tham chiếu hiện không ảnh hưởng đến phí giao dịch. Tập lệnh phải được xử lý, bao gồm thực hiện một số công việc. Tuy nhiên, việc thực thi tập lệnh đòi hỏi chi phí thiết lập CEK và đầu vào tham chiếu, làm tăng kích thước của giao dịch và do đó làm tăng phí.

Cuộc tấn công DDoS dẫn đến tải cao hơn trên mạng, vượt quá mức bình thường. Các SPOs (SPO) đã bị ảnh hưởng tiêu cực bởi số lượng Height Battle cao hơn. Bất chấp những vấn đề này, Blockchain Cardano vẫn tiếp tục hoạt động hiệu quả, chỉ có một số chậm trễ nhỏ trong thời gian xử lý giao dịch và một số giảm mật độ chuỗi.

Cuộc tấn công là một bài kiểm tra áp lực thú vị đối với Cardano và là bằng chứng về khả năng phục hồi. Hơn 1,8 triệu giao dịch đã được Cardano xử lý trong cuộc tấn công DDoS.

Cardano đã đạt tới 40 TPS.

Trình khám phá eUTXO cũng phản ứng nhanh chóng với cuộc tấn công. Nó có thể hình dung được cuộc tấn công.

Kẻ tấn công đã mất tiền như thế nào

Cuộc tấn công đã bị dừng lại sau khi các nhà phát triển từ AnastasiaLabs chỉ ra cách lấy ADA từ kẻ tấn công. Khi đăng ký một tập lệnh staking, giao thức yêu cầu phải gửi 2 ADA. Việc hủy đăng ký tập lệnh yêu cầu xác thực để có thể lấy lại tiền gửi.

Không có xác thực nào được triển khai trong 194 tập lệnh được kẻ tấn công sử dụng, nghĩa là không có hạn chế nào được xác định đối với những người có thể lấy lại tiền gửi. Mỗi lần xác thực Always-Success. Điều này cho phép hủy đăng ký cho tất cả mọi người, vì xác thực Always-Success và phí giao dịch thấp hơn số tiền gửi thu được.

Đã có bản sửa lỗi nóng

Kẻ tấn công có thể suy nghĩ nhiều hơn về cuộc tấn công và sau đó lặp lại nó trong những điều kiện khác nhau.

Nhóm đã trực tiếp điều tra vấn đề cơ bản và xác định nguyên nhân gốc rễ. Nhóm đã triển khai thành công bản sửa lỗi nóng có sẵn trong phiên bản node mới 8.12.1.

Tôi yêu cầu tất cả SPO nâng cấp lên phiên bản mới.

Lời kết

Một số phương tiện truyền thông đã đưa tin sai sự cố gần đây liên quan đến Cardano. Ví dụ, Coindesk đã tuyên bố không chính xác rằng cổ phần của người dùng ADA đã bị xâm phạm. Thông tin này không chính xác. ADA được stake vẫn được bảo mật trong ví của người dùng và chi tiêu chỉ có thể xảy ra khi giao dịch được ủy quyền bằng khóa cá nhân tương ứng.

Nguồn bài viết tại đây

Chia sẻ bài viết này trên Twitter | Facebook | Telegram

Picture

Đọc thêm các bài viết liên quan tại thẻ Tags bên dưới