A Halborn kiberbiztonsági cég szerint 280 vagy több blokklánc-hálózatot fenyeget a „nulladik napi” kizsákmányolás, amely legalább 25 milliárd dollár értékű kriptográfiai kockázatot jelenthet.
Egy március 13-án blogHalborn figyelmeztetett a „Rab13s”-nak nevezett sebezhetőségre – hozzátéve, hogy már dolgozott néhány blokklánccal, mint például a Dogecoin, a Litecoin és a Zcash, hogy kijavítsák.
Halborn hatalmasat fedezett fel #ZeroDay hatással van a Dogecoinra és a 280+ hálózatra, beleértve a Litecoint és a Zcash-t, több mint 25 milliárd dollárnyi digitális eszközt veszélyeztetve!
...
- Halborn (@HalbornSecurity) Március 13, 2023
A Halbornt 2022 márciusában szerződtette a Dogecoin, hogy elvégezze a kódbázis biztonsági felülvizsgálatát, és „több kritikus és kihasználható sebezhetőséget” talált.
Később meghatározta azokat ugyanazok a sebezhetőségek „több mint 280 másik hálózatot érintett”, amelyek több milliárd dollár értékű kriptovalutát kockáztattak.
Halborn három sebezhetőséget vázolt fel, amelyek közül a „legkritikusabb” lehetővé teszi a támadó számára, hogy „kidolgozott rosszindulatú konszenzus üzeneteket küldjön az egyes csomópontoknak, amelyek mindegyikének leállását okozza”.
3/ A felfedezett legkritikusabb biztonsági rés a peer-to-peer (p2p) kommunikációhoz kapcsolódik, ahol a támadók konszenzusos üzeneteket hozhatnak létre, és elküldhetik azokat az egyes csomópontoknak, így offline állapotba kerülhetnek.
Halborn kutatók, vezetésével @safe_buffer, kódnévvel látták el ezt a biztonsági rést #Rab13s.
- Halborn (@HalbornSecurity) Március 13, 2023
Hozzátette, hogy ezek az üzenetek idővel kitehetik a blokkláncot a 51% támadás ahol a támadó irányítja a hálózat nagy részét bányászati hash arány vagy téttel ellátott tokenek a blokklánc új verziójának elkészítéséhez vagy offline állapotba hozásához.
A talált egyéb nulladik napi sebezhetőségek lehetővé tennék a potenciális támadók összeomlását blokklánc csomópontok Remote Procedure Call (RPC) kérések küldésével – egy protokoll, amely lehetővé teszi egy program számára, hogy kommunikáljon és szolgáltatásokat kérjen egy másiktól.
7/ Másodszor, a támadók normál csomópont-felhasználóként futtathatnak kódot a nyilvános felületen (RPC) keresztül. Mivel a támadás végrehajtásához érvényes hitelesítő adatokra van szükség, ennek a kihasználásnak a valószínűsége kisebb.
- Halborn (@HalbornSecurity) Március 13, 2023
Hozzátette, az RPC-vel kapcsolatos visszaélések valószínűsége kisebb, mivel érvényes hitelesítő adatokra van szükség a támadás végrehajtásához.
„A hálózatok közötti kódbázis-különbségek miatt nem minden sérülékenység kihasználható az összes hálózaton, de ezek közül legalább egy kihasználható minden hálózaton” – figyelmeztetett Halborn.
Kapcsolódó: A Jump Crypto és az Oasis.app 225 millió dollárért „kizsákmányolja” a Wormhole hackert
A cég azt közölte, hogy jelenleg nem ad ki további technikai részleteket a visszaélésekről azok súlyossága miatt, és hozzátette, hogy „jóhiszeműen” igyekezett felvenni a kapcsolatot az összes érintett féllel a lehetséges kizsákmányolások feltárása és a sebezhetőségek orvoslása érdekében.
A Dogecoin, a Zcash és a Litecoin már telepített foltokat a felfedezett sebezhetőségekre, de Halborn szerint még mindig több száz példány kerülhet nyilvánosságra.
Forrás: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm