Halborn, firma zajmująca się bezpieczeństwem Blockchain, wykryła kilka krytycznych i możliwych do wykorzystania luk w zabezpieczeniach, które mają wpływ na ponad 280 sieci, w tym Litecoin (LTC) i Zcash (ZEC). Ta luka o nazwie kodowej „Rab13s” zagroziła aktywom cyfrowym o wartości ponad 25 miliardów dolarów.
Zostało to po raz pierwszy wykryte w sieci Dogecoin rok temu, a następnie zostało naprawione przez zespół stojący za głównym memecoinem.
51% Ataki i inne problemy
Według oficjalnych blogubadacze z Holborn odkryli najbardziej krytyczną lukę związaną z komunikacją peer-to-peer (p2p), która, jeśli zostanie wykorzystana, może pomóc atakującym w tworzeniu komunikatów konsensusowych, wysyłaniu ich do poszczególnych węzłów i przełączaniu ich w tryb offline. Ostatecznie takie zagrożenie może również narazić sieci na zagrożenia, takie jak ataki 51% i inne poważne problemy.
„Atakujący może przeszukiwać sieci równorzędne za pomocą komunikatu getaddr i atakować niezałatane węzły”.
Firma zidentyfikowała kolejny dzień zerowy, który był jednoznacznie powiązany z Dogecoin, w tym lukę RPC (Remote Procedure Call) umożliwiającą zdalne wykonanie kodu, mającą wpływ na poszczególnych górników.
Warianty tych dni zerowych odkryto również w podobnych sieciach blockchain, takich jak Litecoin i Zcash. Chociaż nie wszystkie błędy można wykorzystać z natury ze względu na różnice w bazie kodu między sieciami, przynajmniej jeden z nich może zostać wykorzystany przez atakujących w każdej sieci.
REKLAMA
W przypadku wrażliwych sieci Halborn powiedział, że udane wykorzystanie odpowiedniej luki może doprowadzić do odmowy usługi lub zdalnego wykonania kodu.
Platforma bezpieczeństwa uważa, że prostota tych luk Rab13 zwiększa możliwość ataku.
Po dalszych badaniach badacze Halborn znaleźli drugą lukę w usługach RPC, która umożliwiła atakującemu awarię węzła za pośrednictwem żądań RPC. Ale udana eksploatacja wymagałaby ważnych poświadczeń. Zmniejsza to możliwość zagrożenia całej sieci, ponieważ niektóre węzły implementują polecenie zatrzymania.
Z drugiej strony, trzecia luka umożliwia złośliwym podmiotom wykonanie kodu w kontekście użytkownika uruchamiającego węzeł za pośrednictwem interfejsu publicznego (RPC). Prawdopodobieństwo tego exploita jest również niskie, ponieważ nawet to wymaga ważnych poświadczeń do przeprowadzenia udanego ataku.
Exploity błędów
W międzyczasie opracowano zestaw exploitów dla Rab13s, który zawiera weryfikację koncepcji z konfigurowalnymi parametrami w celu zademonstrowania ataków na różne inne sieci.
Halborn potwierdził udostępnienie wszystkich niezbędnych szczegółów technicznych zidentyfikowanym interesariuszom, aby pomóc im naprawić błędy, a także wydać odpowiednie łatki dla społeczności i górników.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/
- :Jest
- $W GÓRĘ
- 000
- 1
- 7
- a
- AI
- Wszystkie kategorie
- i
- Inne
- SĄ
- AS
- Aktywa
- At
- atakować
- Ataki
- tło
- transparent
- BE
- bo
- za
- jest
- uważa,
- pomiędzy
- Miliard
- binance
- Binance Futures
- blockchain
- Sieci blockchain
- granica
- Bug
- błędy
- by
- wezwanie
- CAN
- nieść
- walizka
- kod
- Kod źródłowy
- kolor
- Komunikacja
- społeczność
- pojęcie
- ZATWARDZIAŁY
- Zgoda
- zawartość
- kontekst
- mógłby
- rzemiosło
- Crash
- POŚWIADCZENIE
- Listy uwierzytelniające
- krytyczny
- wykazać
- Denial of Service
- depozyty
- detale
- wykryte
- rozwinięty
- Różnice
- cyfrowy
- Zasoby cyfrowe
- odkryty
- dogecoin
- każdy
- włączony
- cieszyć się
- Wchodzę
- Cały
- podmioty
- Parzyste
- ostatecznie
- Ekskluzywny
- wykonać
- egzekucja
- Wykorzystać
- eksploatacja
- eksploatowany
- zewnętrzny
- Opłaty
- Firma
- i terminów, a
- ustalony
- W razie zamówieenia projektu
- znaleziono
- Darmowy
- dalej
- Futures
- Halborna
- ręka
- pomoc
- HTTPS
- zidentyfikowane
- wdrożenia
- in
- obejmuje
- Włącznie z
- Zwiększenia
- indywidualny
- Interfejs
- wewnętrzny
- śledztwo
- problemy
- jpg
- prowadzić
- pozwala
- Litecoin
- Litecoin (LTC)
- niski
- LTC
- Margines
- Memecoiny
- wiadomość
- wiadomości
- Górniczy
- jeszcze
- większość
- Natura
- niezbędny
- sieć
- sieci
- węzeł
- węzły
- of
- oferta
- urzędnik
- nieaktywny
- on
- ONE
- Inne
- p2p
- parametry
- Łatki
- peer to peer
- Peer-to-peer (P2P)
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- możliwość
- premier
- dowód
- dowód koncepcji
- publiczny
- położyć
- Czytający
- otrzymać
- zmniejsza
- zarejestrować
- związane z
- zwolnić
- zdalny
- wywołań
- wymagać
- Wymaga
- Badania naukowe
- Badacze
- Ryzyko
- ryzyko
- bieganie
- Powiedział
- druga
- bezpieczeństwo
- usługa
- Usługi
- kilka
- ciężki
- Share
- dzielenie
- podobny
- prostota
- ponieważ
- solidny
- kilka
- specjalny
- Łącza
- interesariusze
- Stop
- udany
- taki
- Brać
- zespół
- Techniczny
- że
- Połączenia
- Im
- Te
- Trzeci
- groźba
- Przez
- do
- wyjątkowo
- Użytkownik
- różnorodny
- przez
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- DOBRZE
- który
- Podczas
- w
- by
- rok
- Twój
- Zcash
- Zcash (ZEC)
- ZEC
- zefirnet