Xuất hiện thông tin địa chỉ ví khởi tạo DAI trên Layer-2 bị lộ private key

Vào tối 03/09, mạng xã hội X đã xuất hiện những thông tin cảnh báo về việc địa chỉ khởi tạo DAI trên các Layer-2 đã bị lộ private key.

Xuất hiện thông tin địa chỉ ví khởi tạo DAI trên các Layer-2 bị lộ private key

Tài khoản "godsflaw" đã phát đi những cảnh báo về DAI trên mạng xã hội X đến người dùng, các đơn vị cung cấp dịch vụ ví và các trình duyệt dữ liệu.

🚨 DAI Security PSA for wallet providers, block explorers, and users. The L2 DAI deployer (0x075da589886BA445d7c7e81c472059dE7AE65250) for the DAI vanity address (0xDA10009cBd5D07dd0CeCc66161FC93D7c9000da1) has been compromised. (1/7)

— Christopher Mooney (@godsflaw) September 3, 2024

Cụ thể, địa chỉ ví khởi tạo DAI trên Layer-2 (0x075...65250) cho ví vanity "0xDA10...000da1" đã bị tấn công.

Tài khoản này cũng cho biết, nếu người dùng sử dụng DAI trên Optimism và Arbitrum thì sẽ không chịu rủi ro gì. Tuy nhiên, người dùng trên các mạng lưới khác có thể bị tấn công để đánh cắp DAI.

Điều này là vì chính tài khoản "godsflaw" vào năm 2021 là người đào và tìm ra được private key của ví vanity ở 2 chain nói trên. Nhưng sau đó tài khoản này đã hoàn trả lại quyền kiểm soát cho Maker Governance.

oDAI uses the vanity address 0xDA10009cBd5D07dd0CeCc66161FC93D7c9000da1 which @godsflaw found after searching for a few days on his personal mining rigs. The target search was for DA1000 and 000da1 on the ends, but we got a bonus palindrome 9c/c9 as well.

— Sam MacPherson (@hexonaut) July 14, 2021

Khác với các địa chỉ thông thường, địa chỉ ví vanity thường có những kí tự đặc trưng có sẵn theo nhu cầu của người khởi tạo. Chính điểm đặc biệt này cũng tạo ra một lỗ hổng bảo mật khi bất cứ ai cũng có thể dò tìm private key dựa theo những đặc trưng của loại ví này.

Vào năm 2022, đội ngũ 1inch cũng từng lên tiếng khuyến cáo về lỗ hổng có thể phát sinh từ dạng đỉa chỉ ví vanity khởi tạo trên Profanity.

The original address was farmed using a large GPU cluster, so we knew it would take some time for an attacker to find the private key. We left a honeypot of 1 ETH on the address so we would know when the exploit occurred. (4/7)

— Christopher Mooney (@godsflaw) September 3, 2024

Để chắc chắn về thời điểm private key của ví trên bị GPU đào và do ra, tài khoản "godsflaw" đã để sẵn 1 ETH trong ví như mồi nhử. Và theo tài khoản này, vào tháng 07/2024, lượng ETH nói trên đã bị chuyển đi, đồng nghĩa với việc địa chỉ vanity này đã bị lộ key.

Trên các mạng lưới Layer-2 khác ngoài Optimism và Arbitrum, kẻ tấn công đã bắt đầu khởi tạo các contract giả mạo để có thể tấn công người dùng.

The attacker can now deploy malicious contracts on other chains with the same address as DAI. They've already deployed a honeypot on Base:https://t.co/vSdNTz6jIw (6/7)

— Christopher Mooney (@godsflaw) September 3, 2024

Hiện tại, những biện pháp khả dĩ để bảo vệ người dùng đó là đánh dấu đỏ trên các trình duyệt dữ liệu những contract nào được khởi tạo sau cột mốc năm 2023. Ngoài ra, người dùng cần lưu ý không tương tác với DAI trên các Layer-2 để tránh thất thoát tài sản.

Thông tin này đến trong bối cảnh MakerDAO vừa hứng chịu nhiều ý kiến trái chiều sau quyết định thiết lập phiên bản stablecoin USDS thay thế cho DAItrong tuần trước.