Suche
Mein Konto
Kritinės klaidos, turinčios įtakos Litecoin, Zcash, Dogecoin ir kitiems tinklams: tyrimai
„Blockchain Security Company Hisorn“ atrado keletą kritinių ir išnaudojamų silpnybių, turinčių įtakos daugiau nei 280 tinklų, įskaitant „Litecoin“ (LTC) ir ZCASH (ZEC). Šis silpnas taškas su kodo pavadinimu „RAB13S“ sukėlė nykstantį skaitmeninį turtą, kurio vertė viršija 25 milijardus dolerių. Pirmą kartą tai buvo rasta „Dogecoin“ tinkle prieš metus, kurį vėliau ištaisė komanda už pirmaujančios „Memecoin“. 51 % išpuolių ir kitų problemų pagal oficialų tinklaraščio įrašą Holborno tyrėjai aptiko kritiškiausią silpną mintį, susijusią su bendraamžių komunikacija (P2P), kuri, jei ji bus išnaudota, gali padėti sukurti išpuolius ir nusiųsti juos į individualius mazgus ir neprisijungus ...
Kritinės klaidos, turinčios įtakos Litecoin, Zcash, Dogecoin ir kitiems tinklams: tyrimai
„blockchain“ saugumo įmonė „Halinorn“ atrado keletą kritinių ir išnaudojamų silpnybių, turinčių įtakos daugiau nei 280 tinklų, įskaitant „Litecoin“ (LTC) ir ZCASH (ZEC). Šis silpnas taškas su kodo pavadinimu „RAB13S“ sukėlė nykstantį skaitmeninį turtą, kurio vertė viršija 25 milijardus dolerių.
Tai pirmą kartą buvo atrasta „Dogecoin“ tinkle prieš metus, kurį vėliau ištaisė komanda už pirmaujančios „Memecoin“.
51 % atakų ir kitos problemos
Remiantis oficialiu tinklaraščio įrašu, Holborno tyrėjai atrado kritiškiausią silpną tašką, susijusį su bendraamžių komunikacija (P2P), kuris, jei jis bus išnaudojamas, gali padėti sukurti atakas ir nusiųsti juos į atskirus mazgus ir pakeisti juos neprisijungus. Galų gale tokia grėsmė taip pat gali sustabdyti tokią riziką kaip 51%išpuolių ir kitų rimtų problemų.
"Užpuolikas gali nuskaityti tinklo bendraamžius Getaddr pranešimu ir užpulti neapmokėtus mazgus."
Bendrovė nustatė dar vieną nulinę dieną, aiškiai susijusią su „Dogecoin“, įskaitant RPC (nuotolinio procedūros skambučio) silpną tašką nuotolinio kodo versijoje, kuri paveikė atskirus kalnakasius.
Šių nulinių dienų variantai taip pat buvo rasti panašiuose „blockchain“ tinkluose, tokiuose kaip „Litecoin“ ir „Zcash“. Nors ne visos klaidos gali būti naudojamos tarp tinklų dėl kodo bazės skirtumų, bent vieną iš jų užpuolikai galėjo naudoti bet kuriame tinkle.
Ementiškų tinklų atveju Salvanornas teigė, kad sėkmingai naudojamas atitinkamas pažeidžiamumas gali sukelti paslaugų ar nuotolinio kodo versijos neigimą.
Saugumo platforma laikosi nuomonės, kad šių Rab13 silpnybių paprastumas padidina išpuolio galimybę.
Tolesniuose tyrimuose „Halbborn“ tyrėjai nustatė antrą silpną RPC paslaugų tašką, kuris leido užpuolikui sugadinti mazgą per RPC užklausas. Tačiau norint sėkmingai naudoti, reikės tinkamos prisijungimo informacijos. Tai sumažina galimybę, kad visam tinklui gresia pavojus, nes kai kurie mazgai įgyvendina „Stop“ komandą.Trečiasis pažeidžiamumas, kita vertus, turi kenksmingus subjektus vartotojo kontekste, kuris per viešą sąsają (RPC) atlieka mazgą. Šio išnaudojimo tikimybė taip pat yra maža, nes net tam reikia pagrįsto leidimo įrodymo, kad būtų galima atlikti sėkmingą išpuolį.
Bug-Exploits
Tuo tarpu buvo sukurtas „Rab13“ išnaudojimo rinkinys, kuriame yra koncepcijos įrodymas su konfigūruojamais parametrais, siekiant parodyti atakas prieš įvairius kitus tinklus.
Semornas patvirtino, kad pasidalino visomis būtinomis techninėmis detalėmis su nustatytomis suinteresuotosiomis šalimis, kad padėtų jiems ištaisyti klaidas ir išlaisvinti atitinkamus pataisas bendruomenei ir kalnakasiams.
.