„Blockchain“ saugos įmonė „Halborn“ aptiko keletą kritinių ir išnaudojamų pažeidžiamumų, turinčių įtakos daugiau nei 280 tinklų, įskaitant „Litecoin“ (LTC) ir „Zcash“ (ZEC). Šis pažeidžiamumas, pavadintas „Rab13s“, kelia pavojų daugiau nei 25 mlrd. USD vertės skaitmeniniam turtui.
Tai pirmą kartą buvo aptikta „Dogecoin“ tinkle prieš metus, o vėliau tai ištaisė komanda, užėmusi pirmaujančią memecoin.
51 % atakų ir kitų problemų
Remiantis oficialiu tinklaraščio įrašu, Holborno tyrėjai atrado svarbiausią pažeidžiamumą, susijusį su lygiaverčiu (p2p) ryšiu, kuris, išnaudojus, gali padėti užpuolikams sukurti konsensuso pranešimus ir išsiųsti juos į atskirus mazgus bei perkelti juos neprisijungus. Galiausiai dėl tokios grėsmės tinklai taip pat gali kelti pavojų, pvz., 51 % atakų ir kitų rimtų problemų.
„Užpuolikas gali nuskaityti tinklo bendraamžius naudodamas getaddr pranešimą ir atakuoti nepataisytus mazgus.
Įmonė nustatė dar vieną nulinę dieną, kuri buvo unikaliai susijusi su Dogecoin, įskaitant RPC (Remote Procedure Call) nuotolinio kodo vykdymo pažeidžiamumą, turintį įtakos atskiriems kalnakasiams.
Šių nulinių dienų variantai taip pat buvo aptikti panašiuose „blockchain“ tinkluose, tokiuose kaip „Litecoin“ ir „Zcash“. Nors ne visas klaidas galima išnaudoti dėl tinklų kodų bazės skirtumų, kiekviename tinkle užpuolikai gali išnaudoti bent vieną iš jų.
Kalbant apie pažeidžiamus tinklus, Halbornas teigė, kad sėkmingas atitinkamo pažeidžiamumo išnaudojimas gali sukelti paslaugų atsisakymą arba nuotolinio kodo vykdymą.
Saugos platforma mano, kad šių Rab13 pažeidžiamumų paprastumas padidina atakos galimybę.
Atlikę tolesnį tyrimą, Halborno tyrėjai aptiko antrą RPC paslaugų pažeidžiamumą, dėl kurio užpuolikas galėjo sugriauti mazgą per RPC užklausas. Tačiau sėkmingam išnaudojimui reikės galiojančių įgaliojimų. Tai sumažina viso tinklo tikimybę, nes kai kurie mazgai įgyvendina sustabdymo komandą.
Kita vertus, trečiasis pažeidžiamumas leidžia kenkėjiškiems subjektams vykdyti kodą, kai vartotojas naudoja mazgą per viešąją sąsają (RPC). Šio išnaudojimo tikimybė taip pat yra maža, nes net ir tam reikalingas galiojantis kredencialas, norint įvykdyti sėkmingą ataką.
Klaidų išnaudojimai
Tuo tarpu buvo sukurtas „Rab13s“ išnaudojimo rinkinys, apimantis koncepcijos įrodymą su konfigūruojamais parametrais, rodančiais atakas prieš įvairius kitus tinklus.
Halborn patvirtino, kad dalijasi visa reikalinga technine informacija su nustatytomis suinteresuotosiomis šalimis, kad padėtų joms ištaisyti klaidas, taip pat išleisti atitinkamus pataisymus bendruomenei ir kalnakasiams.
„Binance Free“ 100 USD (išskirtinis): naudokite šią nuorodą, kad užsiregistruotumėte ir gautumėte 100 USD nemokamai bei 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
„PrimeXBT“ specialus pasiūlymas: naudokite šią nuorodą, kad užsiregistruotumėte ir įveskite POTATO50 kodą, kad gautumėte iki 7,000 XNUMX USD už savo indėlius.
Šaltinis: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/