Szacuje się, że 280 lub więcej sieci blockchain jest zagrożonych exploitami „zero-day”, które mogą zagrozić kryptowalutom o wartości co najmniej 25 miliardów dolarów, według firmy Halborn zajmującej się cyberbezpieczeństwem.
W marcu 13 blog, Halborn ostrzegł przed luką, którą nazwał „Rab13s” — dodając, że działał już z niektórymi łańcuchami bloków, takimi jak Dogecoin, Litecoin i Zcash, aby wprowadzić poprawkę.
Halborn odkrył masywność #DzieńZerowy wpływając na Dogecoin i ponad 280 sieci, w tym Litecoin i Zcash, narażając zasoby cyfrowe o wartości ponad 25 miliardów dolarów!
...
— Halborn (@HalbornSecurity) 13 marca 2023 r.
Halborn został zatrudniony przez Dogecoin w marcu 2022 r. do przeprowadzenia przeglądu bezpieczeństwa swojej bazy kodów i znalazł „kilka krytycznych i możliwych do wykorzystania luk w zabezpieczeniach”.
Później ustalił te te same słabości „wpłynął na ponad 280 innych sieci”, które zaryzykowały kryptowaluty o wartości miliardów dolarów.
Halborn przedstawił trzy luki w zabezpieczeniach, z których „najbardziej krytyczna” umożliwia atakującemu „wysyłanie spreparowanych złośliwych komunikatów konsensusu do poszczególnych węzłów, powodując zamknięcie każdego z nich”.
3/ Najbardziej krytyczna wykryta luka jest związana z komunikacją peer-to-peer (p2p), w której osoby atakujące mogą tworzyć komunikaty konsensusu i wysyłać je do poszczególnych węzłów, przełączając je w tryb offline.
Naukowcy z Halborn, kierowani przez @bezpieczny_bufor, nazwali tę lukę kodową #Rab13s.
— Halborn (@HalbornSecurity) 13 marca 2023 r.
Dodanie tych wiadomości z czasem może narazić łańcuch bloków na działanie 51% ataku gdzie atakujący kontroluje większość sieci wskaźnik skrótu wydobycia lub stakowane tokeny, aby stworzyć nową wersję łańcucha bloków lub przełączyć go w tryb offline.
Inne wykryte luki zero-day umożliwiłyby potencjalnym atakującym awarię węzły blockchain poprzez wysyłanie żądań zdalnego wywoływania procedur (RPC) — protokół umożliwiający programowi komunikację i żądanie usług od innego programu.
7/ Po drugie, osoby atakujące mogą wykonać kod za pośrednictwem interfejsu publicznego (RPC) jako zwykły użytkownik węzła. Ponieważ do przeprowadzenia ataku wymagane są ważne dane uwierzytelniające, prawdopodobieństwo tego exploita jest mniejsze.
— Halborn (@HalbornSecurity) 13 marca 2023 r.
Dodał, że prawdopodobieństwo wykorzystania exploitów związanych z RPC było mniejsze, ponieważ do przeprowadzenia ataku wymagane są ważne dane uwierzytelniające.
„Ze względu na różnice w kodzie między sieciami nie wszystkie luki można wykorzystać we wszystkich sieciach, ale przynajmniej jedną z nich można wykorzystać w każdej sieci” — ostrzegł Halborn.
Związane z: Jump Crypto i Oasis.app „zwalczają exploity” hakera tunelu czasoprzestrzennego za 225 mln USD
Firma powiedziała w tej chwili, że nie ujawnia dalszych szczegółów technicznych exploitów ze względu na ich wagę i dodała, że podjęła „staranie w dobrej wierze”, aby skontaktować się ze wszystkimi zainteresowanymi stronami, aby ujawnić potencjalne exploity i zapewnić środki zaradcze dla luk w zabezpieczeniach.
Dogecoin, Zcash i Litecoin już wdrożyły łatki dla wykrytych luk, ale według Halborna wciąż mogą zostać ujawnione setki.
Źródło: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm