280 eller flere blockchain-netværk estimeres til at være i fare for "zero-day"-udnyttelser, der kan sætte krypto på mindst 25 milliarder dollars i fare, ifølge cybersikkerhedsfirmaet Halborn.
I en 13. Mar blog, Halborn advarede om den sårbarhed, den kaldte "Rab13s" - og tilføjede, at den allerede har arbejdet med nogle blockchains, såsom Dogecoin, Litecoin og Zcash, for at etablere en rettelse til det.
Halborn opdagede massiv #ZeroDay påvirker Dogecoin og 280+ netværk, inklusive Litecoin og Zcash, og sætter over $25 milliarder af digitale aktiver i fare!
...
- Halborn (@HalbornSecurity) Marts 13, 2023
Halborn blev kontraheret af Dogecoin i marts 2022 for at udføre en sikkerhedsgennemgang af sin kodebase og fandt "flere kritiske og udnyttelige sårbarheder."
Det bestemte senere dem samme sårbarheder "påvirkede over 280 andre netværk", der risikerede cryptocurrencies for milliarder af dollars.
Halborn skitserede tre sårbarheder, hvoraf den "mest kritiske" tillader en angriber at "sende udformede ondsindede konsensusbeskeder til individuelle noder, hvilket får hver til at lukke ned."
3/ Den mest kritiske sårbarhed, der er opdaget, er relateret til peer-to-peer-kommunikation (p2p), hvor angribere kan lave konsensusbeskeder og sende dem til individuelle noder og tage dem offline.
Halborn-forskere, anført af @safe_buffer, har kodenavnet denne sårbarhed #Rab13s.
- Halborn (@HalbornSecurity) Marts 13, 2023
Det tilføjede, at disse beskeder over tid kunne udsætte blockchain for en 51% angreb hvor en angriber kontrollerer størstedelen af netværkets minedrift hash rate eller satsede tokens for at lave en ny version af blockchain eller tage den offline.
Andre nul-dages sårbarheder, den fandt, ville gøre det muligt for potentielle angribere at gå ned blockchain noder ved at sende Remote Procedure Call-anmodninger (RPC) - en protokol, der tillader et program at kommunikere og anmode om tjenester fra et andet.
7/ For det andet kan angribere udføre kode gennem den offentlige grænseflade (RPC) som en normal nodebruger. Da der kræves en gyldig legitimation for at udføre angrebet, er sandsynligheden for denne udnyttelse lavere.
- Halborn (@HalbornSecurity) Marts 13, 2023
Det tilføjede, at sandsynligheden for RPC-relaterede udnyttelser var lavere, da det kræver gyldige legitimationsoplysninger for at udføre angrebet.
"På grund af kodebaseforskelle mellem netværkene kan ikke alle sårbarhederne udnyttes på alle netværkene, men mindst én af dem kan udnyttes på hvert netværk," advarede Halborn.
Relateret: Jump Crypto og Oasis.app 'counter exploits' Wormhole hacker for $225M
Firmaet sagde på nuværende tidspunkt, at det ikke frigiver yderligere tekniske detaljer om udnyttelserne på grund af deres alvor og tilføjede, at det gjorde en "god tro indsats" for at kontakte alle berørte parter for at afsløre de potentielle udnyttelser og sørge for afhjælpning af sårbarhederne.
Dogecoin, Zcash og Litecoin har allerede implementeret patches til de opdagede sårbarheder, men hundredvis kan stadig blive afsløret ifølge Halborn.
Kilde: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm