Blockchain sigurnosna firma, Halborn, otkrila je nekoliko kritičnih i iskoristivih ranjivosti koje utiču na više od 280 mreža, uključujući Litecoin (LTC) i Zcash (ZEC). Pod kodnim nazivom "Rab13s", ova ranjivost je dovela u opasnost preko 25 milijardi dolara digitalne imovine.
Ovo je prvi put otkriveno u Dogecoin mreži prije godinu dana, što je potom popravio tim koji stoji iza premijernog memecoina.
51% Napadi i drugi problemi
Prema službenoj objavi na blogu, istraživači Holborna otkrili su najkritičniju ranjivost vezanu za ravnopravnu (p2p) komunikaciju koja, ako se iskoristi, može pomoći napadačima da naprave poruke o konsenzusu i pošalju ih pojedinačnim čvorovima i odvedu ih van mreže. Na kraju, takva prijetnja bi također mogla izložiti mreže rizicima kao što su napadi od 51% i drugi ozbiljni problemi.
“Napadač može indeksirati mrežne vršnjake koristeći getaddr poruku i napasti nezakrpljene čvorove.”
Firma je identifikovala još jedan nulti dan koji je bio jedinstveno povezan sa Dogecoinom, uključujući ranjivost na daljinsko izvršavanje koda RPC (Remote Procedure Call) koja utiče na pojedinačne rudare.
Varijante ovih nultih dana također su otkrivene u sličnim blockchain mrežama, kao što su Litecoin i Zcash. Iako nisu sve greške po prirodi iskoristive zbog razlika u bazi koda između mreža, napadači na svakoj mreži mogu iskoristiti barem jednu od njih.
U slučaju ranjivih mreža, Halborn je rekao da uspješna eksploatacija relevantne ranjivosti može dovesti do uskraćivanja usluge ili udaljenog izvršavanja koda.
Sigurnosna platforma vjeruje da jednostavnost ovih ranjivosti Rab13 povećava mogućnost napada.
Nakon dalje istrage, Halborn istraživači su pronašli drugu ranjivost u RPC uslugama koja je omogućila napadaču da sruši čvor putem RPC zahtjeva. Ali uspješna eksploatacija bi zahtijevala valjane akreditive. Ovo smanjuje mogućnost da cijela mreža bude u opasnosti jer neki čvorovi implementiraju naredbu stop.
Treća ranjivost, s druge strane, omogućava zlonamjernim entitetima da izvršavaju kod u kontekstu korisnika koji pokreće čvor kroz javni interfejs (RPC). Vjerovatnoća ovog eksploatacije je također niska jer čak i ovo zahtijeva valjanu akreditaciju za izvođenje uspješnog napada.
Bug Exploits
U međuvremenu je razvijen exploit kit za Rab13s koji uključuje dokaz koncepta s podesivim parametrima za demonstriranje napada na razne druge mreže.
Halborn je potvrdio da dijeli sve potrebne tehničke detalje s identificiranim dionicima kako bi im pomogao da poprave greške, kao i da objavi relevantne zakrpe za zajednicu i rudare.
Binance Free $100 (ekskluzivno): Koristite ovu vezu da se registrujete i dobijete $100 besplatno i 10% popusta na Binance Futures prvi mjesec (uslovi).
PrimeXBT specijalna ponuda: Koristite ovaj link da se registrujete i unesete POTATO50 kod da biste dobili do 7,000 dolara na svoje depozite.
Izvor: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/