Kibernetinio saugumo įmonė „Halborn“ neseniai perspėjo apie pažeidžiamumą, dėl kurio daugiau nei 280 „blockchain“ tinklų gali kilti nulinės dienos išnaudojimų pavojus, o tai gali atskleisti mažiausiai 25 mlrd. USD vertės kriptovaliutų. Pažeidžiamumas, kurį Halbornas pavadino „Rab13s“, gali turėti reikšmingų pasekmių paveiktiems tinklams, o Halborn jau dirbo su kai kuriais tinklais, tokiais kaip „Dogecoin“, „Litecoin“ ir „Zcash“, kad nustatytų pataisymą.
Įspėjimas pateiktas po to, kai 2022 m. kovo mėn. buvo sudaryta sutartis su Halbornu atlikti Dogecoin kodų bazės saugumo peržiūrą ir aptikta „keleto kritinių ir išnaudojamų spragų“. Vėliau Halbornas išsiaiškino, kad tie patys pažeidžiamumai „paveikė daugiau nei 280 kitų tinklų“, dėl kurių kilo pavojus, kad kriptovaliutos atsiras milijardų dolerių vertės.
Halbornas apibūdino tris pažeidžiamumus, iš kurių pats svarbiausias leidžia užpuolikui „nusiųsti sukurtus kenkėjiškus konsensuso pranešimus į atskirus mazgus, todėl kiekvienas iš jų išsijungia“. Laikui bėgant šie pranešimai gali sukelti blokų grandinės ataką 51 proc., kai užpuolikas valdo didžiąją dalį tinklo kasybos maišos greičio arba sukauptų žetonų, kad sukurtų naują blokų grandinės versiją arba pašalintų ją iš interneto.
Halbornas rado kitų nulinės dienos spragų, kurios leistų potencialiems užpuolikams sugriauti blokų grandinės mazgus siųsdami nuotolinio procedūrų skambučio (RPC) užklausas – protokolą, leidžiantį programai susisiekti ir prašyti paslaugų iš kitos. Tačiau Halbornas pridūrė, kad su RPC susijusių išnaudojimų tikimybė buvo mažesnė, nes norint įvykdyti ataką reikia galiojančių įgaliojimų.
Halbornas perspėjo, kad dėl tinklų kodų bazės skirtumų ne visi pažeidžiamumai buvo išnaudojami visuose tinkluose, tačiau bent vienas iš jų gali būti išnaudojamas kiekviename tinkle. Kibernetinio saugumo įmonė teigė neskelbianti daugiau techninės informacijos apie išnaudojimus dėl jų rimtumo ir pridūrė, kad ji „sąžiningai stengėsi“ susisiekti su visomis paveiktomis šalimis, kad atskleistų galimus išnaudojimus ir pataisytų pažeidžiamumą.
Nors „Dogecoin“, „Zcash“ ir „Litecoin“ jau įdiegė aptiktų spragų pataisas, Halbornas perspėjo, kad šimtai kitų tinklų vis dar gali būti atskleisti. Šių nulinės dienos išnaudojimų galimybė paveikti milijardus dolerių vertės kriptovaliutas pabrėžia stiprių kibernetinio saugumo priemonių ir reguliarių blokų grandinės tinklų saugumo auditų svarbą. Kadangi blokų grandinės naudojimas ir toliau auga, tikėtina, kad įsilaužėliai ir toliau taikys šių tinklų pažeidžiamumą, todėl tvirtų saugumo priemonių poreikis tampa dar svarbesnis.
Šaltinis: https://blockchain.news/news/cybersecurity-firm-halborn-warns-of-zero-day-vulnerabilities-in-over-280-blockchain-networks