Công ty bảo mật PingSafe đã phát hiện ra nhóm của token meme phổ biến đã làm rò rỉ thông tin đăng nhập Amazon Web Services vào tháng 08, khiến toàn bộ dự án gặp nguy hiểm trong 2 ngày. Nhóm nghiên cứu ẩn danh của Shiba Inu cũng đã giữ im lặng về vấn đề này.
Những điểm chính
Công ty bảo mật PingSafe phát hiện ra nhóm phát triển của token Shiba Inu đã làm rò rỉ thông tin đăng nhập AWS của nó vào tháng 08.
Thông tin đăng nhập bị rò rỉ trong vòng 2 ngày, sau đó chúng đã bị xóa khỏi kho lưu trữ GitHub của dự án.
Mặc dù sự cố đã được giải quyết, nhưng PingSafe vẫn chưa nhận được phản hồi sau khi liên hệ với nhóm nhà phát triển của Shiba Inu.
Nhóm nghiên cứu token Shiba Inu (SHIBA) được cho là đã làm rò rỉ thông tin đăng nhập AWS của mình trong hơn 2 ngày vào tháng 08.
Shiba Inu bị rò rỉ thông tin đăng nhập AWS
Công ty bảo mật PingSafe đã công bố một báo cáo vào ngày 08/09 nêu chi tiết những phát hiện của mình. Nó cho biết vào ngày 22/08, họ phát hiện ra một lỗi trong kho lưu trữ GitHub công khai của Shiba Inu đã hiển thị thông tin đăng nhập liên quan đến tài khoản Amazon Web Services (AWS) của dự án.
Vụ rò rỉ bao gồm một số phần dữ liệu như AWS_ACCESS_KEY và AWS_SECRET_KEY, 2 biến môi trường cho phép các tập lệnh truy cập vào tài khoản AWS. Trong trường hợp này, code bị ảnh hưởng là một phần của tập lệnh shell được sử dụng để chạy các validator node cho mạng Layer 2 của Shiba Inu, Shibarium.
Biến môi trường là những giá trị được cung cấp và phụ thuộc vào Hệ điều hành, vậy nên sự thay đổi của các biến môi trường (khi thay đổi môi trường chạy) sẽ ảnh hưởng đến quá trình thực thi của một ứng dụng, nếu như ứng dụng sử dụng các biến môi trường đó.
PingSafe nói rằng lỗi này “đã làm lộ nghiêm trọng tài khoản AWS của công ty” và có thể dẫn đến các vi phạm bảo mật như trộm tiền, biển thủ và gián đoạn dịch vụ.
PingSafe nói rằng họ đã cố gắng liên hệ với Shiba Inu và các nhà phát triển khác nhau qua email và mạng xã hội để thông báo cho họ về rủi ro nhưng không nhận được phản hồi. Công ty bảo mật cũng đã cố gắng tìm một chương trình tiền thưởng lỗi hoặc chính sách tiết lộ lỗ hổng bảo mật nhưng không tìm thấy phương tiện nào để báo cáo vấn đề.
Hiện tại, việc rò rỉ không còn là một rủi ro nữa, vì thông tin đăng nhập trở nên không hợp lệ sau 2 ngày. Nhóm Shiba Inu cũng đã xóa lỗi có chứa rò rỉ sau báo cáo của Pingsafe và các code lỗi gần đây hơn không chứa dữ liệu bị rò rỉ.
Shiba Inu không phải là mục tiêu chính cho các cuộc tấn công. Tuy nhiên, các cuộc tấn công đã đánh cắp SHIBA trên các nền tảng khác. Ví dụ, SHIBA là tài sản bị đánh cắp trong cuộc tấn công trị giá 611 triệu USD vào Poly Network một năm trước, trong khi một cuộc tấn công vào Bitmart vào tháng 12 đã chứng kiến 32 triệu USD token SHIBA bị đánh cắp.
Shiba Inu hiện là tiền điện tử lớn thứ 12 tính theo vốn hóa thị trường, với vốn hóa 7,5 tỷ USD.