Kibernetinio saugumo įmonės „Halborn“ duomenimis, 280 ar daugiau „blockchain“ tinklų gresia „nulinės dienos“ išnaudojimai, dėl kurių gali kilti pavojus mažiausiai 25 mlrd. USD vertės kriptovaliutų.
Kovo 13 d DienoraštisHalbornas perspėjo apie pažeidžiamumą, kurį jis pavadino „Rab13s“ – pridūrė, kad jis jau dirbo su kai kuriomis blokų grandinėmis, tokiomis kaip „Dogecoin“, „Litecoin“ ir „Zcash“, kad būtų galima ją pataisyti.
Halbornas atrado didžiulį #ZeroDay paveikdamas Dogecoin ir 280+ tinklų, įskaitant Litecoin ir Zcash, rizikuodamas daugiau nei 25 milijardus USD skaitmeninio turto!
...
- Halbornas (@HalbornSecurity) Kovo 13, 2023
2022 m. kovą „Dogecoin“ sudarė sutartį su Halbornu, kad ji atliktų savo kodų bazės saugumo peržiūrą ir aptiko „keletą svarbių ir išnaudojamų spragų“.
Vėliau tai nustatė tų pačių pažeidžiamumų „paveikė daugiau nei 280 kitų tinklų“, kurie rizikavo milijardų dolerių vertės kriptovaliutomis.
Halbornas apibūdino tris pažeidžiamumus, iš kurių „kritiškiausias“ leidžia užpuolikui „siųsti sukurtus kenkėjiškus konsensuso pranešimus į atskirus mazgus, todėl kiekvienas iš jų išsijungia“.
3/ Svarbiausias aptiktas pažeidžiamumas yra susijęs su lygiaverčiu (p2p) ryšiu, kai užpuolikai gali sukurti konsensuso pranešimus ir išsiųsti juos į atskirus mazgus, pašalindami juos iš interneto.
Halborno tyrinėtojai, vadovaujami @safe_buffer, šį pažeidžiamumą pavadino kodiniu pavadinimu #Rab13s.
- Halbornas (@HalbornSecurity) Kovo 13, 2023
Jis pridūrė, kad šie pranešimai laikui bėgant gali atskleisti „blockchain“ a 51% ataka kur užpuolikas valdo daugumą tinklo kasybos maišos norma arba žetonus, kad sukurtumėte naują „blockchain“ versiją arba atsijungtumėte.
Kiti nulinės dienos pažeidžiamumai leistų potencialiems užpuolikams sudužti „blockchain“ mazgai siunčiant Remote Procedure Call (RPC) užklausas – protokolą, leidžiantį programai susisiekti ir prašyti paslaugų iš kitos.
7/ Antra, užpuolikai gali vykdyti kodą per viešąją sąsają (RPC) kaip įprastas mazgo vartotojas. Kadangi norint įvykdyti ataką, reikalingas galiojantis kredencialas, šio išnaudojimo tikimybė yra mažesnė.
- Halbornas (@HalbornSecurity) Kovo 13, 2023
Ji pridūrė, kad su RPC susijusių išnaudojimų tikimybė buvo mažesnė, nes norint įvykdyti ataką reikia galiojančių kredencialų.
„Dėl kodų bazės skirtumų tarp tinklų ne visi pažeidžiamumai gali būti išnaudojami visuose tinkluose, bet bent vienas iš jų gali būti išnaudojamas kiekviename tinkle“, – perspėjo Halbornas.
Susiję: „Jump Crypto“ ir „Oasis.app“ „prieš išnaudoja“ kirmgraužos įsilaužėlį už 225 mln.
Įmonė teigė, kad šiuo metu neskelbia daugiau techninės informacijos apie išnaudojimus dėl jų rimtumo ir pridūrė, kad ji „sąžiningai stengėsi“ susisiekti su visomis paveiktomis šalimis, kad atskleistų galimus išnaudojimus ir pataisytų pažeidžiamumą.
„Dogecoin“, „Zcash“ ir „Litecoin“ jau įdiegė aptiktų spragų pataisas, tačiau, pasak Halborno, šimtai jų vis tiek gali būti atskleisti.
Šaltinis: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm