- Blockchain drošības firma Halborn ir atklājusi nulles dienas ievainojamību 280 tīklos.
- Ievainojamība tika atklāta Dogecoin kodu bāzē pagājušā gada martā.
- Apdraudētie tīkli ir Litecoin un Zcash ar vairāk nekā 25 miljardu ASV dolāru digitālajiem aktīviem.
Blockchain drošības firma Halborn nesen publicēja ziņojumu, kurā izklāstīta informācija par nulles dienas ievainojamību, kas skāra vairāk nekā 280 tīklus kriptogrāfijas telpā. Ievainojamība pirmo reizi tika atklāta pagājušā gada martā, kad uzņēmums novērtēja Dogecoin atvērtā pirmkoda koda bāzi attiecībā uz jebkādām ievainojamībām, kas varētu ietekmēt blokķēdes drošību.
Saskaņā ar Halborna ziņojumu, uzņēmums pēc Dogecoin ievainojamības noteikšanas veica plašu pārskatu, iesaistot citus tīklus. Tas atklāja līdzīgas problēmas ar citiem tīkliem, tostarp Litecoin un Zcash. Blokķēdes drošības firma ir aprēķinājusi, ka ievainojamības dēļ ir apdraudēti digitālie aktīvi vairāk nekā 25 miljardu dolāru vērtībā.
"Tīklu kodu bāzu atšķirību dēļ ne visas ievainojamības var izmantot visos tīklos, taču vismaz viena no tām var būt izmantojama katrā tīklā. Neaizsargātajos tīklos sekmīga attiecīgās ievainojamības izmantošana var izraisīt pakalpojuma atteikumu vai attālinātu koda izpildi, ”sacīja Halborn izpilddirektors Robs Behnke.
Ievainojamība, ko Halborns ir devis ar koda nosaukumu Rab13s, tika atrasta ietekmēto tīklu vienādranga (p2p) ziņojumapmaiņas mehānismā. Tas pakļauj tīklu ļaunprātīgiem konsensa ziņojumiem, ko sūtījis slikts dalībnieks, lai kontrolētu tīklu, uzsākot 51% uzbrukumu.
Vēl viena attālās procedūras izsaukuma (RPC) pakalpojumu ievainojamība var ļaut sliktiem dalībniekiem avarēt mezglu, izmantojot RPC pieprasījumus. Tomēr šādai izmantošanai būtu nepieciešami derīgi akreditācijas dati, kas samazina iespējamību, ka viss tīkls tiks apdraudēts. Ciktāl tas attiecas uz labojumu, Halborn ir nācis klajā ar Rab13s ekspluatācijas komplektu, kas ietver koncepcijas pierādījumu ar konfigurējamiem parametriem, lai demonstrētu uzbrukumus dažādiem tīkliem.
Avots: https://coinedition.com/vulnerability-found-in-dogecoin-is-still-present-on-280-network/