По оценкам фирмы по кибербезопасности Halborn, 280 или более сетей блокчейнов подвержены риску эксплойтов «нулевого дня», которые могут поставить под угрозу криптовалюту на сумму не менее 25 миллиардов долларов.
В блоге от 13 марта Халборн предупредил об уязвимости, которую он назвал «Rab13s», добавив, что она уже работала с некоторыми блокчейнами, такими как Dogecoin, Litecoin и Zcash, чтобы установить для нее исправление.
Халборн обнаружил массовый #ZeroDay, влияющий на Dogecoin и более 280 сетей, включая Litecoin и Zcash, подвергая риску цифровые активы на сумму более 25 миллиардов долларов!
…
— Халборн (@HalbornSecurity) 13 марта 2023 г.
В марте 2022 года Dogecoin наняла Халборна для проведения проверки безопасности своей кодовой базы и обнаружила «несколько критических и пригодных для эксплуатации уязвимостей».
Позже было установлено, что те же самые уязвимости «затронули более 280 других сетей», что поставило под угрозу криптовалюты на миллиарды долларов.
Халборн выделил три уязвимости, «наиболее критическая» из которых позволяет злоумышленнику «отправлять специально созданные злонамеренные согласованные сообщения на отдельные узлы, вызывая закрытие каждого из них».
3/ Наиболее критическая обнаруженная уязвимость связана с одноранговой (p2p) связью, когда злоумышленники могут создавать согласованные сообщения и отправлять их отдельным узлам, переводя их в автономный режим.
Исследователи Halborn под руководством @safe_buffer назвали эту уязвимость кодовым названием #Rab13s.
— Халборн (@HalbornSecurity) 13 марта 2023 г.
Он добавил, что эти сообщения со временем могут подвергнуть блок-цепочку атаке 51%, когда злоумышленник контролирует большую часть хэш-скорости сети или токенов, находящихся в стейкинге, чтобы создать новую версию цепочки блоков или перевести ее в автономный режим.
Другие обнаруженные уязвимости нулевого дня позволят потенциальным злоумышленникам сломать узлы блокчейна, отправив запросы удаленного вызова процедур (RPC) — протокол, позволяющий одной программе обмениваться данными и запрашивать услуги у другой.
7/ Во-вторых, злоумышленники могут выполнять код через общедоступный интерфейс (RPC) как обычный пользователь узла. Поскольку для проведения атаки требуются действительные учетные данные, вероятность использования этого эксплойта ниже.
— Халборн (@HalbornSecurity) 13 марта 2023 г.
Он добавил, что вероятность эксплойтов, связанных с RPC, была ниже, поскольку для проведения атаки требуются действительные учетные данные.
«Из-за различий в кодовой базе между сетями не все уязвимости можно использовать во всех сетях, но по крайней мере одна из них может быть использована в каждой сети», — предупредил Халборн.
Связанный: Jump Crypto и Oasis.app «противодействуют» хакеру червоточины за 225 миллионов долларов
Фирма заявила, что в настоящее время она не публикует дополнительные технические подробности эксплойтов из-за их серьезности, и добавила, что предприняла «добросовестные усилия», чтобы связаться со всеми пострадавшими сторонами, чтобы раскрыть потенциальные эксплойты и обеспечить устранение уязвимостей.
Dogecoin, Zcash и Litecoin уже внедрили исправления для обнаруженных уязвимостей, но, по словам Халборна, еще могут быть обнаружены сотни уязвимостей.
Источник: Сointеlеgrаph