Фирма за безбедност блокчеина, Халборн је открила неколико критичних и искористивих рањивости које утичу на више од 280 мрежа, укључујући Литецоин (ЛТЦ) и Зцасх (ЗЕЦ). Под кодним називом „Раб13с“, ова рањивост је довела у опасност преко 25 милијарди долара дигиталне имовине.
Ово је први пут откривено у Догецоин мрежи пре годину дана, што је потом поправио тим који стоји иза премијерног мемецоина.
51% Напади и други проблеми
Према званичном блог посту, Холборнови истраживачи су открили најкритичнију рањивост у вези са равноправним (п2п) комуникацијама које, ако се искористе, могу помоћи нападачима да направе консензус поруке и пошаљу их појединачним чворовима и одведу их ван мреже. На крају, таква претња би такође могла да изложи мреже ризицима као што су напади од 51% и други озбиљни проблеми.
„Нападач може да попише вршњаке мреже користећи гетаддр поруку и нападне чворове без закрпа.“
Фирма је идентификовала још један нулти дан који је био јединствено повезан са Догецоин-ом, укључујући рањивост на даљинско извршавање кода РПЦ (Ремоте Процедуре Цалл) која утиче на појединачне рударе.
Варијанте ових нултих дана такође су откривене у сличним блокчејн мрежама, као што су Литецоин и Зцасх. Иако нису све грешке по природи искоришћене због разлика у бази кода између мрежа, бар једну од њих могу да искористе нападачи на свакој мрежи.
У случају рањивих мрежа, Халборн је рекао да успешна експлоатација релевантне рањивости може довести до ускраћивања услуге или удаљеног извршавања кода.
Сигурносна платформа верује да једноставност ових рањивости Раб13 повећава могућност напада.
Након даље истраге, Халборн истраживачи су пронашли другу рањивост у РПЦ услугама која је омогућила нападачу да сруши чвор путем РПЦ захтева. Али успешна експлоатација би захтевала валидне акредитиве. Ово смањује могућност да цела мрежа буде у опасности јер неки чворови имплементирају команду стоп.
Трећа рањивост, с друге стране, дозвољава злонамерним ентитетима да извршавају код у контексту корисника који покреће чвор кроз јавни интерфејс (РПЦ). Вероватноћа овог експлоатације је такође мала, јер чак и ово захтева валидну акредитацију да би се извршио успешан напад.
Буг Екплоитс
У међувремену, развијен је комплет за експлоатацију Раб13с који укључује доказ концепта са подесивим параметрима за демонстрирање напада на разне друге мреже.
Халборн је потврдио да дели све неопходне техничке детаље са идентификованим заинтересованим странама како би им помогао да отклоне грешке, као и да објави релевантне закрпе за заједницу и рударе.
Бинанце бесплатно $100 (ексклузивно): Користите ову везу да бисте се регистровали и добили $100 бесплатних и 10% попуста на Бинанце Футурес првог месеца (услови).
ПримеКСБТ специјална понуда: Користите ову везу да се региструјете и унесете ПОТАТО50 код да бисте добили до 7,000 долара на своје депозите.
Извор: хттпс://цриптопотато.цом/цритицал-буг-импацтинг-литецоин-зцасх-догецоин-анд-отхер-нетворкс-идентифиед-ресеарцх/