Bittensor xác định bộ phần mềm độc hại là nguyên nhân gây ra thất thoát $8 triệu USD

Mạng Ai phi tập trung Bittensor đã trải qua sự cố vi phạm an tình trầm trọng vào ngày 2 tháng 7. Kết quả số token TAO trị giá 8 triệu USD đã bị trộm.

Tổ chức đứng sau Bittensor là OpenTensor Foundation (OTF) đã nhanh chóng hành động để giảm thiểu tổn thất. Trong báo cáo sau sự cố này vào ngày 3 tháng 7, OTF đã xác định phần mềm độc hại trong trình quản lý gói PyPi là nguyên nhân cốt yếu gây ra vụ xâm phạm này.

Ví Bittensor mất đi số token TAO trị giá $8 triệu USD do phần mềm độc hại như thế nào?

Phần mềm gây hại giả mạo như một thư viện Bittensor chính thống chưa đứng code được thiết kế để trộm các chi thiết khóa lạnh không mã hóa và gửi bytecode được mã hóa đến máy chủ từ xa được kiểm soát bởi những kẻ tấn công.

Bittensor Community Update

Yesterday at 7:41 PM UTC, we took the decision to place the Opentensor Chain Validators behind a firewall and entered safe-mode on Subtensor due to an attack that affected multiple participants in the Bittensor community.

We have put together a…

— Openτensor Foundaτion (@opentensor) July 3, 2024

Cuộc tấn công này bắt đầu vào lúc 7:06 P.M giờ UTC, các kẻ tấn công đã chuyển tiền từ các ví bị xâm nhập sang ví mà chúng sở hữu sở hữu. Vào lúc 7:25 PM, OTD đã phát hiện khối lượng chuyển tiền không bình thường và đã khởi tạo “phòng chiến tranh” để giải quyết vấn đề này.

Vào lúc 7:41 P.M, các trình xác xác thực đã được đặt phía sau tương lửa và mạng này đã vào “chế độ an toàn”, tạm dừng tất cả các giao dịch để ngăn chặn thêm các thiệt hại có thể xảy ra và cho phép phân tích các tình huống chi tiết.

Sự cố này đã ảnh hướng những người dùng đã tải trình quản lý gói PyPi phiên bản 6.12.2 từ ngày 22 tháng 5 đến 29 tháng 5 và đã tiến hành các hoạt động cụ thể như đặt cược, chuyển tiền ví hay ủy thác.

The chain itself has no risk at this point.

The only issue is for those that participated in a specific version of Bittensor-python package — specifically 6.12.2 — downloaded it from PyPy.

If you did not use PyPy to install Bittensor python version 6.12.2 you are unaffected.…

— const (@const_reborn) July 3, 2024

Sau khi phát hiện, OTF đã nhanh chóng gỡ bỏ phần mềm độc hại từ nơi chứa các package trình quản lý gói PyPi và xem xét tỉ mỉ code Subtensor và Bittensor trên GitHub. Đội ngũ này đã không phát hiện thêm các lỗ hổng nào khác, nhưng họ vẫn tiếp tục đánh giá cơ sở mã và điều tra các hướng tấn công tiềm năng.

OTF cũng hợp tác với một số sàn giao dịch để lần theo kẻ tấn công và tìm cách thu hồi số tiền bị đánh cắp.

Theo OTF, những người bị ảnh hưởng có thể tạo vi mới và chuyển tiền khi các quá trình hoạt động bình thường được khôi phục. Bên cạnh đó, người dùng nên cập nhật phiên bản mới nhất của Bittensor.

Hơn thế nữa, OTF cũng cam kết cung cấp các bản cập nhật thường xuyên đến cộng đồng và đang tiến hành các phương thức bảo mật nâng cao để ngăn chặn các sự cố trong tương lai.

OTF đã cho biết trong báo cáo “Trước mắt, chúng tôi đang làm việc với các nhà bảo trì PyPi để điều tra sự cố xâm phạm này và ngăn chặn các sự cố tương lai như vậy,”

Bittensor tiến hành các biện pháp tăng cường bảo mật

Sự cố xâm phạm bảo mật đã ảnh hưởng đến cộng đồng Bittensor và làm cho giá TAO sụt giảm đi 15%.

Mặc dù vậy, một số trình xác thực đã báo cáo rằng số tiền của những người ủy thác vẫn được đảm bảo. Cộng đồng được hỗ trợ tích cực các nỗ giảm thiểu tổn hại với nhiều người làm việc không mệt mỏi cùng với OTF.

Trong báo cáo sau sự xâm phạm này, đồng sáng lập OTF là Ala Shaabana đảm bảo rằng cuộc tấn công đã được ngăn chặn và đội ngủ đang điều ra tất cả các khả năng.

Shaabana cho biết: “Cuối cùng, đầy đủ và rõ ràng, thì cuộc tấn công này không ảnh hưởng đến blockchain hay code Subtensor, và giao thức Bittensor cơ bản không bị xâm hại và vẫn an toàn.”

Bittensor cung thông vào việc tiến hành các phương thức bảo mật tăng cường để ngăn chặn các trường hợp khai thác trong tương lai. OTF sẽ cung cấp các bản cập nhất toàn diện khác trong 24 giờ và giữ cho phiên Q&A để giải quyết bất kỳ mối lo ngại hay câu hỏi nào từ cộng động.