Cryptocurrency ärakasutamine on muutunud üheks kasvavaks ohuks digitaalsete varade edendamise ja kasutuselevõtu vastu. Aastate jooksul on tööstus kannatanud tohutud kaotused mitmete krüptoplokiahelate ja nendega seotud platvormide ärakasutamise kaudu.
Kuigi rünnakuid on erineval kujul, on nullpäeva rünnakud muutunud halbade näitlejate jaoks silmapaistvaks ja korduvaks tüübiks. Seda tüüpi ärakasutamine röövib krüptoplokiahelate ja platvormide tarkvara haavatavusi.
Turvafirma Halborn hiljutisest aruandest selgub, et sadu plokiahelaid on praegu nullpäevase ärakasutamise ohus.
Avaldati mõned peamised plokiahelate haavatavused
Hiljuti Halborn avalikustas avastas mitmete krüptoplokiahelavõrkude vastu suunatud tohutu nullpäeva rünnakud läbi Twitteri postituste. Tarkvara haavatavus märgistusega "Rab 13s" pidi mõjutama üle 280 võrgu, nagu Dogecoin, Zcash, Litecoin ja teised.
Turvafirma märkis, et ärakasutamine võib kaasa tuua enam kui 25 miljardi dollari väärtuses krüptovarade võimaliku kaotuse sihtvõrkudest.
2022. aasta märtsis sõlmis Dogecoin oma koodibaasi turvaauditi Halborniga. Turvafirma mainis Dogecoini võrgus paljude kriitiliste ja avatud haavatavuste avastamist. Halborn teatas ka, et need sarnased haavatavused on mõjutanud rohkem kui 280 muud krüptotööstuse plokiahela võrku.
Halborn tõi oma Twitteri postituses esile mõned tarkvara haavatavused paljastatud plokiahela võrkudes. Nimelt on suur lünk võrkudes võimaldab ekspluateerijal luua ja saata üksikutele sõlmedele pahatahtlikke konsensussõnumeid. Seega käivitab selline rünnak sõlmede automaatse väljalülitamise.
Turvafirma väitis, et sellised sõnumid võivad põhjustada plokiahelale kahju 51% rünnak üle aja. Seejärel sai ärakasutaja juhtida enamikku võrgu toiminguid, nagu kaevandamise räsimäär või panustatud märgid. Ründaja võib isegi plokiahela võrguühenduseta kasutada või uue versiooni välja töötada.
Ta märkis, et on teinud mõistlikke jõupingutusi mõjutatud võrkudega ühenduse võtmiseks, et tõhusalt võidelda tehniliste vigade vastu. Selles märgiti, et võrgud võiksid oma teenuste eest ka vastutustundliku avalikustamise ja otsuste poole pöörduda. Samuti soovitas see mõne võrgu (nt Dogecoin) jaoks uuendada kõik UTXO-põhised sõlmed uusimale versioonile.
Nullpäevane ärakasutamine ja selle mõju krüptole
Nullpäevane ärakasutamine on turvarünnak, mis on suunatud süsteemide ja võrkude tarkvara haavatavustele. Tavaliselt otsib ja kasutab ärakasutaja rünnakute jaoks tarkvara turvaauke enne, kui leevendusosaline sekkub.
Krüpto- ja plokiahelatööstused on minevikus olnud tunnistajaks mitmele null-päeva ärakasutamisele. Nutikas lepinguplatvorm Parity kaotas 30. aasta juulis ärakasutamise tõttu üle 2017 miljoni dollari väärtuses eetrimärke. Häkkerid ründasid ka CryptoKittesit 2017. aasta detsembris ja hankisid kahe päeva jooksul umbes 17 miljoni dollari väärtuses ETH-d.
Enamikul juhtudel saavad ründajad juurdepääsu oma sihtmärkide rahalistele vahenditele, saates kasutajatele andmepüügimeile või sõnumeid. Kui kasutaja avab sõnumi või klõpsab edasisaadetud linkidel, pääseb ärakasutaja ligi kasutaja mandaatidele ja muule rünnaku jaoks olulisele teabele.
Esiletõstetud pilt Pixabayst ja graafik saidilt Tradingview.com
Allikas: https://bitcoinist.com/crypto-security-firm-claims-blockchains-are-at-risk/