Po podatkih podjetja za kibernetsko varnost Halborn je ocenjeno, da je 280 ali več omrežij blockchain ogroženih zaradi izkoriščanja "ničelnega dne", ki bi lahko ogrozilo kriptovalute v vrednosti najmanj 25 milijard dolarjev.
13. marca blog, je Halborn opozoril na ranljivost, ki jo je poimenoval "Rab13s" - in dodal, da je že delovala z nekaterimi verigami blokov, kot so Dogecoin, Litecoin in Zcash, da bi uvedla popravek zanjo.
Halborn je odkril ogromno #ZeroDay vpliva na Dogecoin in več kot 280 omrežij, vključno z Litecoin in Zcash, ter ogroža več kot 25 milijard dolarjev digitalnih sredstev!
...
- Halborn (@HalbornSecurity) Marec 13, 2023
Dogecoin je marca 2022 sklenil pogodbo s Halbornom, da izvede varnostni pregled svoje kodne baze in odkrije »več kritičnih in izkoriščljivih ranljivosti«.
To je pozneje določilo tiste enake ranljivosti "prizadelo več kot 280 drugih omrežij", ki so tvegala milijarde dolarjev vredne kriptovalute.
Halborn je orisal tri ranljivosti, od katerih "najbolj kritična" omogoča napadalcu, da "pošilja ustvarjena zlonamerna soglasna sporočila posameznim vozliščem, zaradi česar se vsako zaustavi."
3/ Najbolj kritična odkrita ranljivost je povezana s komunikacijo enakovrednega (p2p), kjer lahko napadalci ustvarijo soglasna sporočila in jih pošljejo posameznim vozliščem, tako da jih onemogočijo.
Raziskovalci Halborna, pod vodstvom @safe_buffer, so to ranljivost poimenovali kodno #Rab13s.
- Halborn (@HalbornSecurity) Marec 13, 2023
Dodal je, da bi lahko ta sporočila sčasoma izpostavila verigo blokov a 51% napad kjer napadalec nadzoruje večino omrežja stopnja zgoščevanja rudarjenja ali vstavljene žetone, da naredite novo različico verige blokov ali jo prenesete brez povezave.
Druge ranljivosti ničelnega dne, ki jih je našel, bi potencialnim napadalcem omogočile sesutje blockchain vozlišča s pošiljanjem zahtev za klic oddaljenega postopka (RPC) — protokol, ki omogoča programu, da komunicira in zahteva storitve od drugega.
7/ Drugič, napadalci lahko izvajajo kodo prek javnega vmesnika (RPC) kot običajen uporabnik vozlišča. Ker je za izvedbo napada potrebna veljavna poverilnica, je verjetnost tega izkoriščanja manjša.
- Halborn (@HalbornSecurity) Marec 13, 2023
Dodal je, da je verjetnost izkoriščanja, povezanega z RPC, manjša, saj so za izvedbo napada potrebne veljavne poverilnice.
"Zaradi razlik v kodni bazi med omrežji ni vseh ranljivosti mogoče izkoristiti v vseh omrežjih, vendar je vsaj eno od njih mogoče izkoristiti v vsakem omrežju," je opozoril Halborn.
Povezano: Jump Crypto in Oasis.app 'proti izkoriščanju' hekerja Wormhole za 225 milijonov $
Družba je sporočila, da trenutno ne objavlja nadaljnjih tehničnih podrobnosti izkoriščanja zaradi njihove resnosti, in dodala, da se je "v dobri veri" potrudila stopiti v stik z vsemi prizadetimi stranmi, da bi razkrila morebitna izkoriščanja in zagotovila odpravo ranljivosti.
Dogecoin, Zcash in Litecoin so že uvedli popravke za odkrite ranljivosti, vendar bi lahko bilo po Halbornu na stotine še vedno izpostavljenih.
Vir: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm