Ethereum-utvikler Peter Szilágyi har gitt ut en sårbarhetsrapport som beskriver hvordan en feil han fant i Avalanche ville ha krasjet hele nettverket.
Péter Szilágyi identifiserte 29. mars 2022 en feil i Avalanches PeerList-pakke som lett ville blitt utnyttet av en ondsinnet skuespiller. Han henvendte seg til Avalanches utviklerteam, og de rettet omgående sikkerhetsproblemet.
Publiserer min #Snøskred sårbarhetsrapport fra 29. mars 2022 som kunne vært brukt til å ta ned hele nettverket uten kostnad.
Problemet ble løst langt tilbake, og med den nyeste Avalanche-hardgaffelen kjører alle noder den lappede programvaren.
Kos deg 🙂https://t.co/nokedKF7IZ
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
PeerList-sårbarheten
Avalanche-nettverket kommuniserer ved hjelp av en PeerList-pakke som bare kan sendes av nodevalidatorer. Szilágyi forklarte at sårbarheten var slik at alt en angriper trengte var å satse 2000 AVAX tokens som kreves for å være en valideringsnode og sende ut en ondsinnet PeerList-pakke til noder på nettverket.
Szilágyi forklarte:
"Siden alle noder i nettverket kobles til alle validatorer, er det ganske mye en insta-død for hele nettverket."
Han la til:
"Prisen er selvfølgelig 2000 AVAX, men jeg finner det på en måte akseptabelt siden en fin short vil gi en søt fortjeneste og nettverket vil reversere uansett etter noen timer, så ingen langsiktig verdi tapt i den ondsinnede validatoren."
Fra mars 2022 var markedsverdien av Snøskred nettverket ble estimert til over 24 milliarder dollar. Økosystemets krasj ville vært dødelig hvis en ondsinnet angriper hadde kapret sårbarheten.
Avalanches kamp med insekter
Under lanseringen av DeFi-protokollen Pangolin on Avalanche i februar 2021, led nettverket en "tverrkjedefinalitet" bug som tvang den til å gå inn i en "selvhelbredende modus."
Avalanche opplevde en stor nettverksbelastning som fikk noen validatorer til å akseptere noen ugyldige myntetransaksjoner. Følgelig måtte nettverket stoppe alle transaksjoner i timevis. Utviklerne lappet raskt problemet og fullførte alle ventende transaksjoner.
- Bitcoin
- blockchain
- blockchain-overholdelse
- blockchain konferanse
- coinbase
- coingenius
- Konsensus
- kryptokonferanse
- krypto gruvedrift
- cryptocurrency
- CryptoSlate
- desentralisert
- Defi
- Digitale eiendeler
- ethereum
- hacks
- maskinlæring
- ikke soppbart token
- brudd
- plato
- plato ai
- Platon Data Intelligence
- Platoblokkjede
- PlatonData
- platogaming
- polygon
- bevis på innsatsen
- Teknologi
- W3
- zephyrnet
