Blockchain bezpečnostná firma Halborn odhalila niekoľko kritických a zneužiteľných zraniteľností, ktoré ovplyvňujú viac ako 280 sietí vrátane Litecoin (LTC) a Zcash (ZEC). Táto zraniteľnosť s kódovým názvom „Rab13s“ ohrozila digitálne aktíva v hodnote viac ako 25 miliárd dolárov.
Prvýkrát to bolo zistené v sieti Dogecoin pred rokom, čo potom opravil tím stojaci za premiérovým memecoinom.
51 % útokov a iných problémov
Podľa oficiálneho blogového príspevku výskumníci z Holbornu objavili najkritickejšiu zraniteľnosť súvisiacu s komunikáciou peer-to-peer (p2p), ktorá, ak je zneužitá, môže útočníkom pomôcť vytvoriť konsenzuálne správy a poslať ich do jednotlivých uzlov a stiahnuť ich do režimu offline. Nakoniec by takáto hrozba mohla vystaviť siete aj rizikám, ako sú 51% útoky a iné závažné problémy.
"Útočník môže prehľadávať sieťových partnerov pomocou správy getaddr a zaútočiť na neopravené uzly."
Firma identifikovala ďalší zero-day, ktorý jedinečne súvisel s Dogecoinom, vrátane zraniteľnosti spustenia kódu na diaľku RPC (Remote Procedure Call), ktorá má vplyv na jednotlivých baníkov.
Varianty týchto nultých dní boli objavené aj v podobných blockchainových sieťach, ako sú Litecoin a Zcash. Aj keď nie všetky chyby sú svojou povahou zneužiteľné kvôli rozdielom v kódovej základni medzi sieťami, aspoň jednu z nich by mohli zneužiť útočníci v každej sieti.
V prípade zraniteľných sietí Halborn uviedol, že úspešné využitie príslušnej zraniteľnosti môže viesť k odmietnutiu služby alebo vzdialenému spusteniu kódu.
Bezpečnostná platforma verí, že jednoduchosť týchto zraniteľností Rab13s zvyšuje možnosť útoku.
Po ďalšom vyšetrovaní našli výskumníci z Halbornu druhú zraniteľnosť v službách RPC, ktorá umožnila útočníkovi zlyhať uzol prostredníctvom žiadostí RPC. Úspešné využitie by si však vyžadovalo platné poverenia. To znižuje možnosť ohrozenia celej siete, pretože niektoré uzly implementujú príkaz stop.
Tretia zraniteľnosť na druhej strane umožňuje škodlivým entitám spustiť kód v kontexte používateľa, ktorý spúšťa uzol cez verejné rozhranie (RPC). Pravdepodobnosť tohto zneužitia je tiež nízka, pretože aj to si vyžaduje platné poverenie na vykonanie úspešného útoku.
Chyby využívajú
Medzitým bol vyvinutý exploit kit pre Rab13s, ktorý obsahuje dôkaz koncepcie s konfigurovateľnými parametrami na demonštráciu útokov na rôzne iné siete.
Halborn potvrdil zdieľanie všetkých potrebných technických detailov s identifikovanými zainteresovanými stranami, aby im pomohol opraviť chyby, ako aj uvoľniť príslušné záplaty pre komunitu a baníkov.
Binance Free $ 100 (Exkluzívne): Použite tento odkaz na registráciu a získajte $ 100 zadarmo a 10 % zľavu z poplatkov na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz na registráciu a zadajte POTATO50 kód, aby ste dostali až 7,000 XNUMX $ na svoje vklady.
Zdroj: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/