dogecoin, Zcash и Litecoin уже исправили “критическую” уязвимость, но сотни других криптовалют могут этого не сделать, рискуя миллиардами криптовалют.
Более 280 сетей блокчейн подвержены риску использования уязвимостей “нулевого дня”, которые могут поставить под угрозу криптовалюты на сумму не менее 25 миллиардов долларов, сообщает компания Halborn, специализирующаяся на кибербезопасности.
В своем блоге от 13 марта компания Halborn предупредила об уязвимости, которую она назвала “Rab13s”, добавив, что она уже работает с некоторыми блокчейнами, такими как Dogecoin, Litecoin и Zcash, над ее устранением.
? Halborn discovered massive #ZeroDay impacting Dogecoin and 280+ networks including Litecoin and Zcash, putting over $25 Billion of digital assets at risk!
??…
— Halborn (@HalbornSecurity) March 13, 2023
Компания Halborn заявила, что в марте 2022 года она заключила контракт на проведение анализа безопасности кодовой базы Dogecoin и обнаружила “несколько критических и уязвимых мест”.
Позже было установлено, что эти же уязвимости “затронули более 280 других сетей”, которые подвергли риску криптовалюты на миллиарды долларов.
Хэлборн описал три уязвимости, “самая критическая” из которых позволяет злоумышленнику “отправлять созданные вредоносные сообщения о консенсусе на отдельные узлы, заставляя каждый из них отключиться”.
3/ The most critical vulnerability discovered is related to peer-to-peer (p2p) communications where attackers can craft consensus messages and send it to individual nodes, taking them offline.
Halborn researchers, led by @safe_buffer, have code-named this vulnerability #Rab13s.
— Halborn (@HalbornSecurity) March 13, 2023
Он добавил, что эти сообщения со временем могут подвергнуть блокчейн атаке 51%, когда злоумышленник контролирует большую часть хэшрейта сети для майнинга или стейк токенов, чтобы создать новую версию блокчейна или вывести его из сети.
Другие найденные уязвимости нулевого дня позволят потенциальным злоумышленникам вывести из строя узлы блокчейна путем отправки запросов на удаленный вызов процедур (RPC) – протокол, позволяющий одной программе общаться и запрашивать услуги у другой.
7/ ? Secondly, attackers can execute code through the public interface (RPC) as a normal node user. Since a valid credential is required to carry out the attack, the likelihood of this exploit is lower.
— Halborn (@HalbornSecurity) March 13, 2023
В компании добавили, что вероятность эксплойтов, связанных с RPC, ниже, поскольку для проведения атаки требуются действительные учетные данные.
“Из-за различий в кодовой базе сетей не все уязвимости могут быть использованы во всех сетях, но по крайней мере одна из них может быть использована в каждой сети”, – предупредил Хэлборн.
Компания заявила, что в настоящее время она не раскрывает дальнейшие технические детали уязвимостей из-за их серьезности, и добавила, что предприняла “добросовестные усилия”, чтобы связаться со всеми пострадавшими сторонами, чтобы раскрыть потенциальные уязвимости и обеспечить их устранение.
Dogecoin, Zcash и Litecoin уже внедрили исправления для обнаруженных уязвимостей, но, по словам Халборна, сотни уязвимостей все еще могут быть открыты.