พบข้อผิดพลาดร้ายแรงที่ส่งผลกระทบต่อ Litecoin, ZCash, Dogecoin และเครือข่ายอื่น ๆ: การวิจัย

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

พบข้อบกพร่องร้ายแรงที่ส่งผลกระทบต่อ Litecoin, ZCash, Dogecoin และเครือข่ายอื่น ๆ ที่ระบุ: การวิจัย PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

Halborn บริษัทรักษาความปลอดภัยด้านบล็อคเชนได้ตรวจพบช่องโหว่ที่สำคัญและใช้ประโยชน์ได้หลายอย่างซึ่งส่งผลกระทบต่อเครือข่ายมากกว่า 280 แห่ง รวมถึง Litecoin (LTC) และ Zcash (ZEC) ชื่อรหัสว่า “Rab13s” ช่องโหว่นี้ทำให้สินทรัพย์ดิจิทัลมูลค่ากว่า 25 หมื่นล้านดอลลาร์ตกอยู่ในความเสี่ยง

สิ่งนี้ถูกตรวจพบครั้งแรกในเครือข่าย Dogecoin เมื่อปีที่แล้ว ซึ่งหลังจากนั้นทีมงานที่อยู่เบื้องหลัง memecoin ชั้นนำก็แก้ไขได้

51% การโจมตีและปัญหาอื่นๆ

ตามที่เจ้าหน้าที่ได้กล่าวไว้ โพสต์บล็อกนักวิจัยของ Holborn ค้นพบช่องโหว่ที่สำคัญที่สุดที่เกี่ยวข้องกับการสื่อสารแบบ peer-to-peer (p2p) ซึ่งหากถูกโจมตี จะสามารถช่วยให้ผู้โจมตีสร้างข้อความที่เป็นเอกฉันท์ และส่งไปยังแต่ละโหนดและออฟไลน์ได้ ในที่สุด ภัยคุกคามดังกล่าวอาจทำให้เครือข่ายมีความเสี่ยง เช่น การโจมตี 51% และปัญหาร้ายแรงอื่นๆ

“ผู้โจมตีสามารถรวบรวมข้อมูลเพียร์เครือข่ายโดยใช้ข้อความ getaddr และโจมตีโหนดที่ไม่ได้แพตช์”

บริษัทได้ระบุวัน Zero-day อื่นที่เกี่ยวข้องกับ Dogecoin โดยเฉพาะ รวมถึง RPC (Remote Procedure Call) ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่ส่งผลกระทบต่อนักขุดแต่ละคน

นอกจากนี้ ยังมีการค้นพบรูปแบบต่างๆ ของ Zero-days ในเครือข่ายบล็อกเชนที่คล้ายกัน เช่น Litecoin และ Zcash แม้ว่าจะไม่ใช่ข้อบกพร่องทั้งหมดที่สามารถใช้ประโยชน์ได้ตามธรรมชาติเนื่องจากความแตกต่างของโค้ดเบสระหว่างเครือข่าย แต่อย่างน้อยหนึ่งจุดบกพร่องอาจถูกโจมตีโดยผู้โจมตีในแต่ละเครือข่าย

โฆษณา

ในกรณีของเครือข่ายที่มีช่องโหว่ Halborn กล่าวว่าการใช้ประโยชน์จากช่องโหว่ที่เกี่ยวข้องได้สำเร็จอาจนำไปสู่การปฏิเสธบริการหรือการเรียกใช้โค้ดจากระยะไกล

แพลตฟอร์มความปลอดภัยเชื่อว่าความเรียบง่ายของช่องโหว่ Rab13s เหล่านี้จะเพิ่มความเป็นไปได้ในการโจมตี

จากการตรวจสอบเพิ่มเติม นักวิจัยของ Halborn พบช่องโหว่ที่สองในบริการ RPC ที่ทำให้ผู้โจมตีสามารถล่มโหนดผ่านคำขอ RPC แต่การแสวงประโยชน์ที่ประสบความสำเร็จจะต้องใช้ข้อมูลประจำตัวที่ถูกต้อง สิ่งนี้ช่วยลดความเป็นไปได้ที่เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง เนื่องจากบางโหนดใช้คำสั่งหยุด

ในทางกลับกัน ช่องโหว่ที่สามช่วยให้เอนทิตีที่เป็นอันตรายรันโค้ดในบริบทของผู้ใช้ที่รันโหนดผ่านอินเทอร์เฟซสาธารณะ (RPC) ความเป็นไปได้ของการใช้ประโยชน์นี้ก็ต่ำเช่นกัน เนื่องจากต้องใช้ข้อมูลประจำตัวที่ถูกต้องในการโจมตีให้สำเร็จ

การใช้ประโยชน์จากข้อผิดพลาด

ในขณะเดียวกัน ชุดช่องโหว่สำหรับ Rab13s ได้รับการพัฒนาขึ้นซึ่งรวมถึงการพิสูจน์แนวคิดพร้อมพารามิเตอร์ที่กำหนดค่าได้เพื่อสาธิตการโจมตีบนเครือข่ายอื่นๆ ที่หลากหลาย

Halborn ได้ยืนยันการแบ่งปันรายละเอียดทางเทคนิคที่จำเป็นทั้งหมดกับผู้มีส่วนได้ส่วนเสียที่ระบุเพื่อช่วยพวกเขาในการแก้ไขจุดบกพร่อง ตลอดจนปล่อยแพตช์ที่เกี่ยวข้องสำหรับชุมชนและนักขุด

ข้อเสนอพิเศษ (ผู้สนับสนุน)
Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้ เพื่อลงทะเบียนและรับฟรี $100 และค่าธรรมเนียม 10% สำหรับ Binance Futures เดือนแรก (เงื่อนไขการใช้บริการ).

ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้ เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับสูงถึง $7,000 จากเงินฝากของคุณ