Shibarium báo cáo bảo mật: khóa cầu, hạn chế stake BONE kẻ tấn công

Cầu nối Shibarium bị tấn công bằng flash loan, dẫn tới khoảng 2,4 triệu USD trị giá ETH và SHIB bị đánh cắp; nền tảng đã công bố cập nhật sự cố và triển khai biện pháp khẩn cấp để hạn chế giao dịch trái phép và bảo vệ tài sản.

Shibarium giới hạn một số hoạt động cầu nối, siết cơ chế staking, luân chuyển khóa xác thực và chuyển quyền kiểm soát hợp đồng sang giải pháp lưu ký phần cứng nhiều bên, đồng thời tăng giám sát và thuê chuyên gia an ninh để ứng phó.

Tóm tắt sự cố

Cầu nối giữa Shibarium (Layer 2) và Ethereum bị khai thác bằng kỹ thuật flash loan, gây giảm khoảng 2,4 triệu USD gồm ETH và SHIB.

Sự cố xảy ra do tận dụng lỗ hổng trong quy trình xử lý giao dịch/staking trên cầu nối; điều này khiến kẻ tấn công có thể thực hiện chuỗi giao dịch trong một khối để rút tài sản trước khi hệ thống ổn định.

Biện pháp khẩn cấp của Shibarium

Shibarium đã hạn chế một số thao tác cầu nối để ngăn giao dịch trái phép, cập nhật cơ chế deposit/withdrawal/claim/reward và thêm cơ chế phòng vệ nhằm hạn chế lạm dụng delegated staking.

Ngoài ra, nền tảng can thiệp để phục hồi và bảo vệ BONE do các staking manager nắm giữ, đồng thời hạn chế staking ngắn hạn của kẻ tấn công bằng cơ chế giao thức và can thiệp quản trị.

Quản trị khóa và hạ tầng bảo mật

Shibarium đang luân chuyển signer của validator và chuyển quyền kiểm soát hợp đồng sang lưu ký phần cứng đa bên, đồng thời tiếp tục di chuyển khỏi các khóa cũ.

Mục tiêu là giảm rủi ro do khóa cá nhân bị lộ, tăng độ an toàn cho quyền kiểm soát hợp đồng và cải thiện khả năng phục hồi khi có sự cố tương tự trong tương lai.

Giám sát và phản ứng sự cố

Hệ thống giám sát thời gian thực đã được kích hoạt để theo dõi lưu lượng liên quan tới kẻ tấn công, kèm cảnh báo tự động và báo cáo cho đối tác, sàn giao dịch.

Shibarium cũng thuê các nhà nghiên cứu an ninh độc lập và các đội phản ứng sự cố nhằm điều tra chi tiết, đánh giá tổn thất và hỗ trợ khôi phục an toàn cho hệ sinh thái.

Người dùng nên làm gì?

Kiểm tra các giao dịch liên quan tới tài khoản, tạm ngưng tương tác với cầu nối cho đến khi thông báo an toàn được phát hành, và theo dõi kênh thông tin chính thức để nhận chỉ dẫn phục hồi tài sản.

Số tiền/Token có thể được thu hồi không?

Việc thu hồi phụ thuộc vào khả năng truy vết giao dịch và hợp tác với sàn giao dịch; Shibarium đang thực hiện can thiệp và phục hồi BONE ở mức có thể theo cơ chế quản trị.

Sự cố có ảnh hưởng đến toàn bộ mạng Shibarium không?

Shibarium đã giới hạn các chức năng cầu nối cụ thể; tác động đến mạng chính phụ thuộc kết quả điều tra và biện pháp vá lỗi, nhưng hệ thống đã thực hiện nhiều bước để giảm rủi ro lan rộng.

Shibarium sẽ làm gì để tránh tái diễn?

Đổi khóa, chuyển sang lưu ký phần cứng đa bên, cập nhật logic xử lý giao dịch và thuê chuyên gia an ninh để kiểm toán và gia cố các điểm yếu được ưu tiên.