Virtuals Protocol, một dự án nổi tiếng về AI agent, vừa phải nhanh chóng triển khai bản vá lỗi cho hợp đồng thông minh của mình sau khi một hacker mũ trắng phát hiện lỗ hổng nghiêm trọng. Đồng thời, dự án cũng tái khởi động chương trình tiền thưởng phát hiện lỗi nhằm cải thiện tính bảo mật.
Vào ngày 3/12/2024, nhà nghiên cứu bảo mật ẩn danh Jinu đã liên hệ với Virtuals Protocol để thông báo về lỗ hổng trong một hợp đồng thông minh đã qua kiểm toán. Tuy nhiên, Jinu bất ngờ nhận được thông báo rằng dự án không có chương trình tiền thưởng phát hiện lỗi đang hoạt động, khiến phát hiện này không đủ điều kiện để nhận thưởng.
Jinu cho biết nhóm Virtuals Protocol đã ngừng hoạt động nhóm Discord dùng để tiếp nhận báo cáo lỗ hổng. Trong một bài đăng trên nền tảng X, Jinu chia sẻ:
“Lỗ hổng bảo mật này rất đơn giản và có thể tác động lớn đến hệ sinh thái Virtuals Protocol (nhưng có vẻ như họ không quan tâm đến bảo mật).”
Theo Jinu, lỗ hổng này xuất phát từ việc thiếu cơ chế xác thực khi tạo AgentToken, một chức năng quan trọng của dự án:
“Nếu bị khai thác, lỗ hổng này có thể khiến quá trình tạo AgentToken bị đình trệ cho đến khi hợp đồng được sửa lỗi.”
Ngay sau khi thông tin được công khai, đội ngũ Virtuals Protocol đã liên hệ với Jinu và triển khai bản vá lỗi ngay lập tức để bảo vệ hệ sinh thái.
Dù đã khắc phục vấn đề kịp thời, Virtuals Protocol vẫn chưa đưa ra quyết định về phần thưởng cho Jinu. Trong một thông điệp gửi đến nhà nghiên cứu, đội ngũ dự án bày tỏ sự cảm ơn và hứa xem xét mức độ nghiêm trọng của sự cố:
“Chúng tôi xin lỗi vì sự hiểu lầm ban đầu và cam kết đánh giá lại lỗ hổng này để sớm trao phần thưởng phù hợp cho bạn.”
Jinu tiết lộ rằng mình phát hiện ra lỗi sau khi một người bạn đầu tư vào token của Virtuals Protocol. Quá trình tìm hiểu và phát hiện lỗi chỉ mất khoảng 30 phút, cho thấy mức độ nghiêm trọng của vấn đề.
