Drošības uzņēmums: atklāta nulles dienas ievainojamība, kas ietekmē vairāk nekā 280 blokķēdes tīklus

Saskaņā ar ziņām 14. martā, blokķēdes drošības uzņēmums Halborn izdeva dokumentu, kurā teikts, ka 2022. gada martā Halborns tika nolīgts, lai novērtētu, vai Dogecoin atvērtā pirmkoda bāzē nav ievainojamības, kas varētu ietekmēt blokķēdes drošību. Šīs novērtēšanas laikā Halborns atklāja vairākas kritiskas un izmantojamas ievainojamības, kuras ir novērsusi Dogecoin komanda. Tomēr pēc plašākas pārskatīšanas Halborns konstatēja, ka tā pati ievainojamība ietekmēja vairāk nekā 280 citus tīklus, tostarp Litecoin un Zcash, pakļaujot riskam vairāk nekā 25 miljardus USD digitālos aktīvus. Halborns šo ievainojamību nosauca par Rab13s.
Rab13s ievainojamības tika atklātas ietekmētā tīkla p2p ziņojumapmaiņas mehānismā, un to vienkāršības dēļ tās palielina uzbrukumu iespējamību. Izmantojot šo ievainojamību, uzbrucējs var nosūtīt rūpīgi izstrādātus ļaunprātīgus konsensa ziņojumus dažādiem mezgliem, izraisot katra mezgla slēgšanu un galu galā pakļaujot tīklu tādiem riskiem kā 51% uzbrukumi un citas nopietnas problēmas. Otra RPC pakalpojuma ievainojamība ļauj uzbrucējam avarēt mezglā, izmantojot RPC pieprasījumu. Tomēr veiksmīgai izmantošanai ir nepieciešami derīgi akreditācijas dati, kas samazina iespējamību, ka viss tīkls ir apdraudēts, jo daži mezgli izpilda apturēšanas komandas. Trešā ievainojamība ļauj uzbrucējam izpildīt kodu kontekstā, kad lietotājs palaiž mezglu, izmantojot RPC. Tomēr šī izmantošana ir mazāk ticama, jo tai ir nepieciešami derīgi akreditācijas dati, lai veiktu uzbrukumu.
Halborns teica, ka ir izstrādājis Rab13s ekspluatācijas komplektu, kas ietver koncepcijas pierādījumu ar konfigurējamiem parametriem, lai demonstrētu uzbrukumus dažādiem tīkliem. Visa nepieciešamā tehniskā informācija ir kopīgota ar identificētajām ieinteresētajām personām, lai palīdzētu tām novērst kļūdas un izlaist nepieciešamos ielāpus kopienai un kalnračiem. Projektiem, kuros tiek izmantoti uz UTXO balstīti mezgli (piemēram, Dogecoin), ir ieteicams jaunināt visus mezglus uz jaunāko versiju (1.14.6). Problēmas nopietnības dēļ Halborns pašlaik neizpaudīs papildu tehniskos vai ekspluatācijas datus.