Bezpečnostní firma: Zero-day zranitelnost postihující více než 280 objevených blockchainových sítí

Podle zpráv ze 14. března vydala blockchainová bezpečnostní společnost Halborn dokument, který uvádí, že v březnu 2022 byl Halborn najat, aby vyhodnotil, zda základna otevřeného zdrojového kódu Dogecoinu obsahuje nějaké zranitelnosti, které by mohly ovlivnit bezpečnost blockchainu. Během tohoto hodnocení Halborn objevil několik kritických a zneužitelných zranitelností, které byly opraveny týmem Dogecoin. Po širším přezkoumání však Halborn zjistil, že stejná zranitelnost postihla více než 280 dalších sítí, včetně Litecoin a Zcash, což ohrozilo více než 25 miliard dolarů v digitálních aktivech. Halborn nazval tuto chybu zabezpečení Rab13s.
V mechanismu zasílání zpráv p2p v postižené síti byly objeveny zranitelnosti Rab13s a díky své jednoduchosti zvyšují pravděpodobnost útoků. Využitím této zranitelnosti může útočník posílat pečlivě vytvořené škodlivé konsensuální zprávy různým uzlům, což způsobí vypnutí každého uzlu a nakonec vystaví síť rizikům, jako jsou 51% útoky a další vážné problémy. Druhá chyba zabezpečení ve službě RPC umožňuje útočníkovi havarovat uzel prostřednictvím požadavku RPC. Úspěšné využití však vyžaduje platné přihlašovací údaje, což snižuje pravděpodobnost, že je celá síť ohrožena kvůli některým uzlům provádějícím příkazy zastavení. Třetí chyba zabezpečení umožňuje útočníkovi spustit kód v kontextu uživatele spouštějícího uzel prostřednictvím RPC. Toto zneužití je však méně pravděpodobné, protože k provedení útoku vyžaduje platná pověření.
Halborn řekl, že vyvinul exploit kit pro Rab13s, který obsahuje důkaz koncepce s konfigurovatelnými parametry pro demonstraci útoků na různé sítě. Všechny potřebné technické informace byly sdíleny s identifikovanými zainteresovanými stranami, aby jim pomohly opravit chyby a uvolnit potřebné záplaty pro komunitu a těžaře. U projektů využívajících uzly založené na UTXO (jako je Dogecoin) se doporučuje upgradovat všechny uzly na nejnovější verzi (1.14.6). Vzhledem k závažnosti problému Halborn v tuto chvíli nezveřejní další technické podrobnosti ani podrobnosti o zneužití.