Egy kiberbiztonsági cég, a Halborn a közelmúltban figyelmeztetett egy sebezhetőségre, amely több mint 280 blokklánc-hálózatot jelenthet a nulladik napi kizsákmányolás veszélyének, ami legalább 25 milliárd dollár értékű titkosítást fedhet fel. A Halborn által „Rab13s”-nak nevezett sebezhetőség jelentős következményekkel járhat az érintett hálózatokra nézve, és Halborn már dolgozott néhány hálózattal, például a Dogecoinnal, a Litecoinnal és a Zcash-sel a javítás érdekében.
A figyelmeztetés azután érkezett, hogy Halbornt 2022 márciusában szerződtették a Dogecoin kódbázisának biztonsági felülvizsgálatára, és „több kritikus és kihasználható sebezhetőséget” talált. Halborn később felfedezte, hogy ugyanezek a sebezhetőségek „több mint 280 másik hálózatot érintettek”, ami több milliárd dollár értékű kriptovalutát kockáztatott.
Halborn három sebezhetőséget vázolt fel, amelyek közül a legkritikusabb, amely lehetővé teszi a támadó számára, hogy „kidolgozott rosszindulatú konszenzus üzeneteket küldjön az egyes csomópontoknak, amelyek mindegyikének leállását okozza”. Ezek az üzenetek idővel 51%-os támadásnak tehetik ki a blokkláncot, ahol a támadó irányítja a hálózat bányászati kivonatolási arányának vagy a téttel rendelkező tokenek többségét, hogy új verziót készítsen a blokkláncból, vagy offline állapotba hozza azt.
Halborn további nulladik napi sebezhetőséget talált, amelyek lehetővé teszik a potenciális támadók számára a blokklánc csomópontok összeomlását Remote Procedure Call (RPC) kérések küldésével – ez a protokoll lehetővé teszi, hogy egy program kommunikáljon és szolgáltatásokat kérjen egy másiktól. Halborn azonban hozzátette, hogy az RPC-vel kapcsolatos visszaélések valószínűsége kisebb, mivel a támadás végrehajtásához érvényes hitelesítő adatokra volt szükség.
Halborn arra figyelmeztetett, hogy a hálózatok közötti kódbázisbeli különbségek miatt nem minden sérülékenység volt kihasználható az összes hálózaton, de legalább egy közülük kihasználható minden hálózaton. A kiberbiztonsági cég közölte, hogy nem ad ki további technikai részleteket a visszaélésekről azok súlyossága miatt, és hozzátette, hogy „jóhiszeműen” igyekezett felvenni a kapcsolatot az összes érintett féllel a lehetséges kihasználások feltárása és a sebezhetőségek orvoslása érdekében.
Míg a Dogecoin, a Zcash és a Litecoin már telepített javításokat a felfedezett sebezhetőségekre, Halborn arra figyelmeztetett, hogy még több száz másik hálózat fedhető fel. Az a lehetőség, hogy ezek a nulladik napi kizsákmányolások dollármilliárd értékű kriptovalutákat érinthetnek, aláhúzza az erős kiberbiztonsági intézkedések és a blokklánc-hálózatok rendszeres biztonsági auditjának fontosságát. Ahogy a blokklánc elterjedése folyamatosan növekszik, valószínű, hogy a hackerek továbbra is célba veszik ezeknek a hálózatoknak a sebezhetőségeit, ami még kritikusabbá teszi a robusztus biztonsági intézkedések szükségességét.
Forrás: https://blockchain.news/news/cybersecurity-firm-halborn-warns-of-zero-day-vulnerabilities-in-over-280-blockchain-networks