Kritiskas kļūdas, kas ietekmē Litecoin, Zcash, Dogecoin un citus tīklus: Pētījums

14. März 2023, 22:03 Uhr

Aktualisiert: 14. März 2023, 22:19 Uhr

Von Krypto News Österreich

Blockchain apsardzes kompānija Halinorn ir atklājusi vairākus kritiskus un izmantotus trūkumus, kas ietekmē vairāk nekā 280 tīklus, ieskaitot Litecoin (LTC) un ZCASH (ZEC). Šis vājais punkts ar koda nosaukumu "Rab13" ir apdraudējis digitālos aktīvus vairāk nekā 25 miljardu USD vērtībā.

Tas pirmo reizi tika atklāts Dogecoin tīklā pirms gada, kuru pēc tam komanda novērsa aiz vadošās Memecoin.

51 % uzbrukumi un citas problēmas

Saskaņā ar oficiālo emuāra ziņu Holborn pētnieki atklāja viskritiskāko vājo punktu saistībā ar vienādranga komunikāciju (P2P), kas, ja tas tiek izmantots, var palīdzēt izveidot vienprātīgu ziņojumus un nosūtīt tos uz atsevišķiem mezgliem un izslēgt tos bezsaistē. Galu galā šādi draudi var arī apturēt tādus riskus kā 51%uzbrukumu un citas nopietnas problēmas.

"Uzbrucējs var pārmeklēt tīkla vienaudžus ar GetAddr ziņojumu un uzbrukt neapmaksātajiem mezgliem."

Uzņēmums identificēja vēl vienu nulles dienu, kas ir skaidri saistīta ar Dogecoin, ieskaitot RPC (attālā procedūras zvanu) vāju punktu attālajā koda versijā, kas ietekmēja atsevišķus kalnračus.

Šo nulles dienu varianti tika atklāti arī līdzīgos blokķēžu tīklos, piemēram, Litecoin un Zcash. Lai arī ne visas kļūdas var izmantot starp tīkliem, ņemot vērā atšķirības koda bāzē, vismaz vienu no tām var izmantot uzbrucēji jebkurā tīklā.

uzņēmīgu tīklu gadījumā Salvanorns sacīja, ka veiksmīga atbilstošās ievainojamības izmantošana var izraisīt pakalpojumu vai attālā koda versijas atteikumu.

Drošības platforma uzskata, ka šo Rab13 trūkumu vienkāršība palielina uzbrukuma iespēju.

Turpmākajos pētījumos Halborna pētnieki atrada otro vāju punktu RPC dienestos, kas uzbrucējam ļāva sagraut mezglu, izmantojot RPC izmeklēšanu. Tomēr veiksmīgai lietošanai būtu nepieciešama derīga pieteikšanās informācija. Tas samazina iespēju, ka viss tīkls ir pakļauts riskam, jo daži mezgli ievieš komandu Stop.

Trešajai neaizsargātībai, no otras puses, ir ļaunprātīgas vienības lietotāja kontekstā, kas mezglu veic, izmantojot publisko saskarni (RPC). Arī šī ekspluatācijas iespējamība ir zema, jo pat tas prasa derīgu atļauju pierādījumu veiksmīga uzbrukuma veikšanai.

Bug-Exploits

Pa to laiku ir izstrādāts Rab13 ekspluatācijas komplekts, kas satur koncepcijas pierādījumu ar konfigurējamiem parametriem, lai parādītu uzbrukumus dažādiem citiem tīkliem.

Semorns ir apstiprinājis dalīties ar visām nepieciešamajām tehniskajām detaļām ar identificētajām ieinteresētajām personām, lai palīdzētu tām labot kļūdas un atbrīvot attiecīgos plāksterus sabiedrībai un kalnračiem.