Ethereum udvikler Peter Szilágyi har udgivet en sårbarhedsrapport, der beskriver, hvordan en fejl, han fandt i Avalanche, ville have styrtet hele netværket ned.
Péter Szilágyi identificerede den 29. marts 2022 en fejl i Avalanches PeerList-pakke, som let ville være blevet udnyttet af en ondsindet skuespiller. Han nåede ud til Avalanches udviklerteam, og de fiksede straks sårbarheden.
Udgiver min #Lavine sårbarhedsrapport fra 29. marts 2022, der kunne have været brugt til at fjerne hele netværket uden omkostninger.
Problemet blev løst langt tilbage, og med den nyeste Avalanche-hardfork kører alle noder den lappede software.
God fornøjelse 🙂https://t.co/nokedKF7IZ
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
PeerList-sårbarheden
Avalanche-netværket kommunikerer ved hjælp af en PeerList-pakke som kun kan sendes af nodevalidatorer. Szilágyi forklarede, at sårbarheden var sådan, at alt en angriber behøvede var at satse 2000 AVAX tokens, der kræves for at være en valideringsnode og sende en ondsindet PeerList-pakke til noder på netværket.
Szilágyi forklarede:
"Da alle noder i netværket opretter forbindelse til alle validatorer, er det stort set en insta-død for hele netværket."
Han tilføjede:
"Prisen er selvfølgelig 2000 AVAX, men jeg finder det på en måde acceptabelt, da en pæn short ville give et sødt overskud, og netværket ville vende tilbage alligevel efter et par timer, så ingen langsigtet værdi tabt i den ondsindede validator."
Fra marts 2022 var markedsværdien af Lavine netværk blev anslået til over 24 milliarder dollars. Økosystemets nedbrud ville have været fatalt, hvis en ondsindet angriber havde kapret sårbarheden.
Avalanches kamp med bugs
Under lanceringen af DeFi-protokollen Pangolin on Avalanche i februar 2021, led netværket af en "tværkædet endelighed" bug som tvang den til at gå ind i en "selvhelbredende tilstand".
Avalanche oplevede en stor netværksbelastning, der fik nogle validatorer til at acceptere nogle ugyldige myntetransaktioner. Som følge heraf måtte netværket standse alle transaktioner i timevis. Udviklerne fiksede hurtigt problemet og gennemførte alle afventende transaktioner.
- Bitcoin
- blockchain
- overholdelse af blockchain
- blockchain konference
- coinbase
- coingenius
- Konsensus
- kryptokonference
- krypto minedrift
- cryptocurrency
- CryptoSlate
- decentral
- Defi
- Digitale aktiver
- ethereum
- hacks
- machine learning
- ikke fungibelt symbol
- nedbrud
- plato
- platon ai
- Platon Data Intelligence
- Platonblockchain
- PlatoData
- platogaming
- Polygon
- bevis for indsatsen
- Teknologier
- W3
- zephyrnet