Suche
Mein Konto
Zidentyfikowano krytyczną lukę wpływającą na Litecoin, ZCash, Dogecoin i inne sieci: badania
Firma Halborn zajmująca się bezpieczeństwem Blockchain odkryła wiele krytycznych i możliwych do wykorzystania luk w zabezpieczeniach wpływających na ponad 280 sieci, w tym Litecoin (LTC) i Zcash (ZEC). Luka ta, o kryptonimie „Rab13s”, naraża na ryzyko zasoby cyfrowe o wartości ponad 25 miliardów dolarów. Po raz pierwszy zostało to odkryte rok temu w sieci Dogecoin, a następnie zostało naprawione przez zespół odpowiedzialny za wiodącego memecoina. 51% Ataki i inne problemy Według oficjalnego wpisu na blogu badacze Holborn odkryli najbardziej krytyczną lukę związaną z komunikacją peer-to-peer (p2p), która, jeśli zostanie wykorzystana, może pomóc atakującym w tworzeniu komunikatów konsensusowych i wysyłaniu ich do poszczególnych węzłów, przełączając je w tryb offline...
Zidentyfikowano krytyczną lukę wpływającą na Litecoin, ZCash, Dogecoin i inne sieci: badania
Firma Halborn zajmująca się bezpieczeństwem Blockchain odkryła wiele krytycznych i możliwych do wykorzystania luk w zabezpieczeniach wpływających na ponad 280 sieci, w tym Litecoin (LTC) i Zcash (ZEC). Luka ta, o kryptonimie „Rab13s”, naraża na ryzyko zasoby cyfrowe o wartości ponad 25 miliardów dolarów.
Po raz pierwszy zostało to odkryte rok temu w sieci Dogecoin, a następnie zostało naprawione przez zespół odpowiedzialny za wiodącego memecoina.
51% Ataki i inne problemy
Według oficjalnego wpisu na blogu badacze Holborn odkryli najbardziej krytyczną lukę związaną z komunikacją peer-to-peer (p2p), która, jeśli zostanie wykorzystana, może pomóc atakującym w tworzeniu komunikatów konsensusowych i wysyłaniu ich do poszczególnych węzłów, wyłączając je w trybie offline. Ostatecznie takie zagrożenie może również narazić sieci na zagrożenia, takie jak ataki 51% i inne poważne problemy.
„Osoba atakująca może przeszukać równorzędne urządzenia sieciowe za pomocą komunikatu getaddr i zaatakować niezałatane węzły”.
Firma zidentyfikowała kolejny dzień zerowy wyraźnie powiązany z Dogecoinem, w tym lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu poprzez zdalne wywołanie procedury (RPC), która miała wpływ na poszczególnych górników.
Warianty tych dni zerowych odkryto również w podobnych sieciach blockchain, takich jak Litecoin i Zcash. Chociaż nie wszystkie wady nadają się do wykorzystania ze względu na różnice w kodzie między sieciami, przynajmniej jedna z nich może zostać wykorzystana przez osoby atakujące w dowolnej sieci.
Halborn stwierdził, że w przypadku sieci podatnych na ataki pomyślne wykorzystanie odpowiedniej luki może doprowadzić do odmowy usługi lub zdalnego wykonania kodu.
Platforma bezpieczeństwa uważa, że prostota luk w zabezpieczeniach Rab13 zwiększa możliwość ataku.
Po dalszym badaniu badacze Halbborn odkryli drugą lukę w usługach RPC, która umożliwiła osobie atakującej awarię węzła za pośrednictwem żądań RPC. Jednak pomyślne użycie wymagałoby ważnych poświadczeń. Zmniejsza to ryzyko zagrożenia całej sieci, ponieważ niektóre węzły implementują polecenie zatrzymania.
Trzecia luka umożliwia jednak złośliwym podmiotom wykonanie kodu w kontekście użytkownika uruchamiającego węzeł za pośrednictwem interfejsu publicznego (RPC). Prawdopodobieństwo wykorzystania tego exploita jest również niskie, ponieważ nawet on wymaga ważnych danych uwierzytelniających, aby przeprowadzić skuteczny atak.
Exploity błędów
Opracowano obecnie zestaw exploitów dla Rab13s, który zawiera weryfikację koncepcji z konfigurowalnymi parametrami w celu zademonstrowania ataków na różne inne sieci.
Halborn potwierdził, że udostępni wszystkie niezbędne szczegóły techniczne zidentyfikowanym stronom zainteresowanym, aby pomóc im naprawić błędy i udostępnić odpowiednie poprawki społeczności i górnikom.
.