Küberjulgeolekufirma Halborni andmetel on hinnanguliselt 280 või enamat plokiahelavõrku ohustatud nullpäevast, mis võib seada ohtu vähemalt 25 miljardi dollari väärtuses krüptovarasid.
13. märtsil blogiHalborn hoiatas haavatavuse eest, mida ta nimetas "Rab13s" - lisades, et see on juba töötanud mõne plokiahelaga, nagu Dogecoin, Litecoin ja Zcash, et seda parandada.
Halborn avastas tohutu #NullPäev mõjutab Dogecoini ja 280+ võrku, sealhulgas Litecoini ja Zcashi, seades ohtu üle 25 miljardi dollari väärtuses digitaalseid varasid!
...
- Halborn (@HalbornSecurity) Märtsil 13, 2023
Dogecoin sõlmis Halborniga lepingu 2022. aasta märtsis, et viia läbi oma koodibaasi turbeülevaade ja ta leidis "mitu kriitilist ja ärakasutatavat haavatavusi".
Hiljem määras see need samad haavatavused "mõjutas rohkem kui 280 muud võrku", mis riskisid miljardite dollarite väärtuses krüptovaluutadega.
Halborn tõi välja kolm haavatavust, millest "kõige kriitilisem" võimaldab ründajal "saata üksikutele sõlmedele koostatud pahatahtlikke konsensussõnumeid, mis põhjustavad igaühe sulgemise."
3/ Kõige kriitilisem avastatud haavatavus on seotud peer-to-peer (p2p) suhtlusega, kus ründajad saavad koostada konsensussõnumeid ja saata need üksikutele sõlmedele, viies need võrguühenduseta.
Halborni teadlased eesotsas @safe_buffer, on sellele haavatavusele koodnime andnud #Rab13s.
- Halborn (@HalbornSecurity) Märtsil 13, 2023
See lisas, et need sõnumid aja jooksul võivad plokiahela paljastada a 51% rünnak kus ründaja kontrollib enamikku võrgust kaevandamise räsi määr või panustatud märgid, et teha plokiahelast uus versioon või viia see võrguühenduseta.
Teised leitud nullpäeva haavatavused võimaldaksid potentsiaalsetel ründajatel kokku kukkuda plokiahela sõlmed saates Remote Procedure Call (RPC) päringuid – protokoll, mis võimaldab programmil suhelda ja teiselt teenuseid taotleda.
7/ Teiseks saavad ründajad tavalise sõlme kasutajana koodi käivitada avaliku liidese (RPC) kaudu. Kuna rünnaku läbiviimiseks on vaja kehtivat mandaati, on selle ärakasutamise tõenäosus väiksem.
- Halborn (@HalbornSecurity) Märtsil 13, 2023
See lisas, et RPC-ga seotud ärakasutamise tõenäosus oli väiksem, kuna see nõuab rünnaku sooritamiseks kehtivaid mandaate.
"Võrkude koodibaasi erinevuste tõttu ei ole kõik haavatavused kõigis võrkudes kasutatavad, kuid vähemalt üks neist võib olla igas võrgus ärakasutatav," hoiatas Halborn.
Seotud: Jump Crypto ja Oasis.app "kasutab ära" Wormhole'i häkkerit 225 miljoni dollari eest
Ettevõte teatas, et praegu ei avalda ta nende raskusastme tõttu ärakasutamiste kohta täiendavaid tehnilisi üksikasju ja lisas, et tegi heauskseid jõupingutusi, et võtta ühendust kõigi mõjutatud osapooltega, et avalikustada võimalikud ärakasutused ja pakkuda haavatavuste kõrvaldamiseks.
Dogecoin, Zcash ja Litecoin on avastatud haavatavuste jaoks juba plaastrid kasutusele võtnud, kuid Halborni sõnul võib sadu siiski paljastada.
Allikas: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm