Saskaņā ar kiberdrošības firmas Halborn datiem tiek lēsts, ka 280 vai vairāk blokķēžu tīkli ir pakļauti nulles dienas ekspluatācijas riskam, kas var apdraudēt kriptovalūtas vismaz 25 miljardu USD vērtībā.
Kādā 13. martā blogHalborns brīdināja par ievainojamību, ko tā nodēvēja par “Rab13s”, piebilstot, ka tā jau ir sadarbojusies ar dažām blokķēdēm, piemēram, Dogecoin, Litecoin un Zcash, lai to labotu.
Halborns atklāja masīvu #ZeroDay ietekmē Dogecoin un 280+ tīklus, tostarp Litecoin un Zcash, pakļaujot riskam vairāk nekā 25 miljardus USD digitālos aktīvus!
...
- Halborns (@HalbornSecurity) Marts 13, 2023
2022. gada martā uzņēmums Dogecoin noslēdza līgumu ar Halbornu, lai veiktu savas koda bāzes drošības pārbaudi, un tika atklātas "vairākas kritiskas un izmantojamas ievainojamības".
Tas vēlāk tos noteica tās pašas ievainojamības "ietekmē vairāk nekā 280 citus tīklus", kas riskēja ar miljardiem dolāru vērtu kriptovalūtu.
Halborns izklāstīja trīs ievainojamības, no kurām "viskritiskākā" ļauj uzbrucējam "sūtīt izstrādātus ļaunprātīgus vienprātības ziņojumus atsevišķiem mezgliem, izraisot katras darbības izslēgšanu".
3. Viskritiskākā atklātā ievainojamība ir saistīta ar vienādranga (p2p) sakariem, kur uzbrucēji var izveidot konsensa ziņojumus un nosūtīt tos atsevišķiem mezgliem, pārslēdzot tos bezsaistē.
Halborn pētnieki, kuru vadīja @safe_buffer, šai ievainojamībai ir piešķirts kodētais nosaukums #Rab13s.
- Halborns (@HalbornSecurity) Marts 13, 2023
Tas pievienoja šos ziņojumus laika gaitā var pakļaut blokķēdi a 51% uzbrukums kur uzbrucējs kontrolē lielāko daļu tīkla ieguves hash likme vai žetonus, lai izveidotu jaunu blokķēdes versiju vai izmantotu to bezsaistē.
Citas atrastās nulles dienas ievainojamības ļautu potenciālajiem uzbrucējiem avarēt blokķēdes mezgli nosūtot Remote Procedure Call (RPC) pieprasījumus — protokolu, kas ļauj programmai sazināties un pieprasīt pakalpojumus no cita.
7/ Otrkārt, uzbrucēji var izpildīt kodu, izmantojot publisko saskarni (RPC) kā parasts mezgla lietotājs. Tā kā uzbrukuma veikšanai ir nepieciešami derīgi akreditācijas dati, šīs izmantošanas iespējamība ir mazāka.
- Halborns (@HalbornSecurity) Marts 13, 2023
Tas piebilda, ka ar RPC saistītu ekspluatāciju iespējamība bija mazāka, jo uzbrukuma veikšanai ir nepieciešami derīgi akreditācijas dati.
"Kodu bāzes atšķirību dēļ starp tīkliem ne visas ievainojamības var izmantot visos tīklos, taču vismaz viena no tām var būt izmantojama katrā tīklā," brīdināja Halborns.
Saistītie: Jump Crypto un Oasis.app "pretizmanto" Wormhole hakeri par 225 miljoniem USD
Uzņēmums paziņoja, ka pašlaik tā nesniedz papildu tehnisko informāciju par ekspluatāciju to nopietnības dēļ, un piebilda, ka tā ir "labticīgi centusies", lai sazinātos ar visām ietekmētajām pusēm, lai atklātu iespējamos ekspluatācijas veidus un nodrošinātu ievainojamību novēršanu.
Dogecoin, Zcash un Litecoin jau ir ieviesuši ielāpus atklātajām ievainojamībām, taču saskaņā ar Halborna teikto joprojām var tikt atklāti simtiem.
Avots: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm