Уязвимость нулевого дня, или 280 блокчейнов под угрозой Спец | The инвест

Уязвимость нулевого дня, или 280 блокчейнов под угрозой

Специалисты компании Halborn в марте 2022 провели анализ блокчейна Dogecoin на предмет наличия уязвимостей. Тогда команда выявила ряд критических мест, которые впоследствии были устранены. Однако глубокий анализ других сетей, показал, что те же самые уязвимости присутствуют у более 280 блокчейнов, включая Litecoin и ZCash, а под угрозой находятся активы на сумму более 25 млрд долларов.

Уязвимость нулевого дня - термин, который означает неустраненные уязвимости, против которых еще не разработаны защитные механизмы, а у разработчиков есть 0 дней для устранения проблемы (о проблеме узнали уже после того, как был выпущен продукт).

В Halborn присвоили этой уязвимости кодовое название Rab13s. Уязвимость Rab13s была обнаружена в механизмах обмена сообщениями P2P, которые, в силу своей простоты, повышают вероятность атаки. С помощью этой уязвимости злоумышленник может отправить созданные вредоносные сообщения о консенсусе на отдельные узлы, что приведет к отключению каждого из них и в конечном итоге подвергнет сеть таким рискам, как атаки 51% и другим серьезным проблемам.

Вторая уязвимость в службах RPC позволяет злоумышленнику вывести узел из строя с помощью запросов RPC. Третья уязвимость позволяет злоумышленникам выполнить код от имени пользователя, управляющего узлом, через публичный интерфейс (RPC). Однако вероятность использования этой уязвимости ниже, так как для осуществления атаки требуется действительная учетная запись.

Компания Halborn передала все технические детали представителям уязвимых блокчейнов. Однако неизвестно, все ли предприняли меры для защиты от указанных угроз.