Nâng cấp Pectra bị hoãn do có kẻ tấn công khai thác lỗ hổng

Việc nâng cấp Pectra trên testnet Sepolia đã gặp sự cố khi một kẻ tấn công lợi dụng lỗ hổng để làm gián đoạn mạng lưới, khiến các block rỗng liên tục được tạo ra. Dù đội ngũ phát triển Ethereum đã nhanh chóng triển khai bản vá, họ buộc phải hoãn việc triển khai trên mainnet để tiến hành thêm thử nghiệm. Đây là lần thứ hai Pectra gặp vấn đề sau sự cố trên Holesky.

By Tiến Đạt

Published 10/03/2025

Nâng cấp Pectra bị hoãn do có kẻ tấn công khai thác lỗ hổng

Việc triển khai nâng cấp Pectra trên testnet Sepolia đã gặp sự cố nghiêm trọng sau khi một kẻ tấn công lợi dụng lỗ hổng để gây gián đoạn mạng lưới. Điều này khiến các nhà phát triển Ethereum buộc phải hoãn việc triển khai Pectra trên mainnet để tiếp tục kiểm tra và khắc phục lỗi.

Nâng cấp Pectra đã được triển khai trên testnet Sepolia vào lúc 7:29 sáng ngày 5/3. Ban đầu, quá trình này diễn ra suôn sẻ, nhưng ngay sau đó, nhà phát triển Ethereum Marius van der Wijden nhận thấy các node Geth của họ bắt đầu xuất hiện lỗi, đồng thời nhiều block rỗng (empty blocks) được tạo ra.

Lý do ban đầu được xác định là hợp đồng tiền gửi (deposit contract) đã kích hoạt sai loại sự kiện, dẫn đến việc các node xử lý giao dịch không chính xác. Đội ngũ phát triển nhanh chóng đưa ra bản sửa lỗi, nhưng họ bỏ sót một tình huống đặc biệt (edge case), tạo cơ hội cho kẻ tấn công khai thác.

Một người dùng chưa xác định đã gửi một giao dịch với số token bằng 0 vào địa chỉ hợp đồng tiền gửi, kích hoạt lại lỗi này và khiến mạng tiếp tục tạo ra các block rỗng.

Chi tiết về vụ tấn công testnet Sepolia

Ban đầu, nhóm phát triển cho rằng lỗi có thể do một validator tin cậy thao túng, nhưng sau khi điều tra, họ phát hiện giao dịch này đến từ một tài khoản mới, được cấp tiền qua faucet.

Do tính chất của tiêu chuẩn ERC-20, một người dùng có thể thực hiện giao dịch với số token bằng 0 mà không cần thực sự sở hữu token. Kẻ tấn công đã tận dụng điều này để làm gián đoạn hệ thống.

hacker khai thac lo hong 1 — Vụ tấn công được ghi nhận trong báo cáo testnet Sepolia

Nhà phát triển Van der Wijden tiết lộ rằng cách duy nhất để ngăn chặn cuộc tấn công là lọc bỏ tất cả giao dịch tương tác với hợp đồng tiền gửi. Vì vậy, họ đã triển khai một bản vá riêng (private fix) trên một số node DevOps do Ethereum Foundation kiểm soát, thay vì công khai sửa lỗi ngay lập tức.

“Chúng tôi nghi ngờ rằng kẻ tấn công đang theo dõi các cuộc trò chuyện nội bộ, vì vậy quyết định không công khai bản vá mà chỉ cập nhật một số node để đảm bảo mạng tiếp tục tạo block đầy đủ,”

hacker se nhan duoc gi 1 — Hacker cũng không nhận được gì từ cuộc tấn công – Nguồn X

Đến 2 giờ chiều cùng ngày, tất cả các node đã được cập nhật bản sửa lỗi và mạng lưới Sepolia quay trở lại trạng thái ổn định.

Pectra tiếp tục bị trì hoãn, nhà đầu tư lo ngại

Đây không phải lần đầu tiên Ethereum gặp vấn đề khi thử nghiệm Pectra. Trước đó, bản nâng cấp này cũng gặp sự cố trên testnet Holesky vào ngày 26/2, buộc đội ngũ phát triển phải xử lý các lỗi cấu hình validator.

Do liên tiếp gặp lỗi, nhóm phát triển Ethereum đã quyết định hoãn việc triển khai Pectra trên mainnet để tiến hành thêm các thử nghiệm.

Việc trì hoãn này có thể ảnh hưởng đến niềm tin của các nhà đầu tư và cộng đồng Ethereum, đặc biệt khi các đối thủ cạnh tranh như Solana đang thu hút sự chú ý nhờ tốc độ và phí giao dịch thấp.

Tổng kết

Nâng cấp Pectra tiếp tục gặp trục trặc sau khi bị kẻ tấn công lợi dụng lỗ hổng trên testnet Sepolia. Mặc dù Ethereum đã nhanh chóng triển khai bản vá và kiểm soát tình hình, nhưng sự cố này một lần nữa cho thấy công tác kiểm thử của Ethereum vẫn còn nhiều lỗ hổng.

Việc trì hoãn Pectra có thể khiến cộng đồng lo ngại về tính ổn định khi triển khai trên mainnet. Ethereum Foundation sẽ cần đẩy mạnh quá trình thử nghiệm và kiểm tra để đảm bảo Pectra có thể ra mắt suôn sẻ, tránh ảnh hưởng tiêu cực đến hệ sinh thái Ethereum.