Cryptocurrency eksploatuoja tapo viena iš vis didėjančių grėsmių skaitmeninio turto plėtrai ir pritaikymui. Bėgant metams pramonė nukentėjo didžiulius nuostolius per kelis išnaudojimus kriptovaliutų grandinėse ir susijusiose platformose.
Nors išpuoliai būna įvairių formų, nulinės dienos išnaudojimai tapo žinomu ir pasikartojančiu blogų veikėjų tipu. Šio tipo išnaudojimai grobiasi kriptovaliutų grandinių ir platformų programinės įrangos pažeidžiamumu.
Neseniai paskelbta saugos įmonės „Halborn“ ataskaita atskleidžia, kad šiuo metu šimtams blokų grandinių gresia nulinės dienos išnaudojimai.
Paaiškėjo keletas pagrindinių blokų grandinių pažeidžiamumo
Pastaruoju metu, Halbornas atskleidė „Twitter“ įrašų serija atrado didžiulius nulinės dienos išnaudojimus, nukreiptus prieš kelis kriptovaliutų grandinės tinklus. Programinės įrangos pažeidžiamumas, pažymėtas „Rab 13s“, turėjo paveikti daugiau nei 280 tinklų, tokių kaip „Dogecoin“, „Zcash“, „Litecoin“ ir kt.
Apsaugos įmonė pažymėjo, kad dėl išnaudojimo gali būti prarasta daugiau nei 25 mlrd. USD vertės kriptovaliutų turtas iš tikslinių tinklų.
2022 m. kovo mėn. „Dogecoin“ sudarė sutartį su „Halborn“ dėl savo kodų bazės saugumo audito. Apsaugos įmonė minėjo atradusi daug svarbių ir atvirų Dogecoin tinklo spragų. Be to, Halbornas pranešė, kad tie panašūs pažeidžiamumai paveikė daugiau nei 280 kitų blokų grandinės tinklų kriptovaliutų pramonėje.
Savo „Twitter“ įraše Halbornas pabrėžė kai kuriuos programinės įrangos pažeidžiamumus atviruose „blockchain“ tinkluose. Pažymėtina, kad pagrindinė spraga tinkluose leidžia išnaudotojui kurti ir siųsti kenkėjiškus konsensuso pranešimus atskiriems mazgams. Taigi, tokia ataka sukels automatinį mazgų išjungimą.
Apsaugos įmonė pareiškė, kad dėl tokių pranešimų blokų grandinė gali nukentėti a 51% ataka su laiku. Vėliau išnaudotojas galėjo valdyti daugumą tinklo operacijų, pvz., kasybos maišos rodiklį arba įkeltus žetonus. Užpuolikas netgi gali atjungti blokų grandinę arba sukurti naują versiją.
Ji pažymėjo, kad dėjo pagrįstas pastangas, kad susisiektų su paveiktais tinklais, kad būtų veiksmingai kovojama su techniniais trūkumais. Ji pažymėjo, kad tinklai taip pat galėtų kreiptis dėl atsakingo atskleidimo ir sprendimų dėl savo paslaugų. Be to, ji rekomendavo atnaujinti visus UTXO pagrindu veikiančius mazgus į naujausią kai kurių tinklų, pvz., Dogecoin, versiją.
Nulinės dienos išnaudojimas ir jo įtaka kriptovaliutai
Nulinės dienos išnaudojimas yra saugumo ataka, skirta sistemų ir tinklų programinės įrangos pažeidžiamumui. Paprastai išnaudotojas ieško ir naudoja programinės įrangos pažeidžiamumą atakoms prieš tai, kai poveikio mažinimo šalis įsitraukia.
Kriptovaliutų ir blokų grandinės pramonė praeityje patyrė keletą nulinės dienos išnaudojimų. Išmanioji sutarčių platforma „Parity“ prarado daugiau nei 30 mln. USD vertės eterio žetonų 2017 m. liepos mėn. per išnaudojimą. 2017 m. gruodį įsilaužėliai taip pat užpuolė „CryptoKittes“ ir per dvi dienas surinko apie 17 mln. USD vertės ETH.
Daugeliu atvejų užpuolikai gauna prieigą prie savo tikslinių lėšų siųsdami sukčiavimo el. laiškus arba pranešimus vartotojams. Kai vartotojas atidaro pranešimą arba spustelėja persiųstas nuorodas, išnaudotojas pasieks vartotojo kredencialus ir kitą atakai svarbią informaciją.
Teminis vaizdas iš Pixabay ir diagrama iš Tradingview.com
Šaltinis: https://bitcoinist.com/crypto-security-firm-claims-blockchains-are-at-risk/