Firma ochroniarska: odkryto lukę dnia zerowego wpływającą na ponad 280 sieci blockchain

Według wiadomości z 14 marca firma Halborn zajmująca się bezpieczeństwem blockchain wydała dokument stwierdzający, że w marcu 2022 r. Halborn został zatrudniony w celu oceny, czy baza kodu open source Dogecoin zawiera jakiekolwiek luki, które mogą mieć wpływ na bezpieczeństwo blockchain. Podczas tej oceny Halborn odkrył kilka krytycznych i możliwych do wykorzystania luk w zabezpieczeniach, które zostały naprawione przez zespół Dogecoin. Jednak po szerszej analizie Halborn ustalił, że ta sama luka dotyczyła ponad 280 innych sieci, w tym Litecoin i Zcash, narażając na ryzyko aktywa cyfrowe o wartości ponad 25 miliardów dolarów. Halborn nadał tej luce nazwę kodową Rab13s.
W mechanizmie przesyłania wiadomości p2p zaatakowanej sieci wykryto luki Rab13, które ze względu na swoją prostotę zwiększają prawdopodobieństwo ataków. Wykorzystując tę ​​lukę, osoba atakująca może wysyłać starannie spreparowane złośliwe komunikaty konsensusowe do różnych węzłów, powodując zamknięcie każdego węzła i ostatecznie narażając sieć na zagrożenia, takie jak ataki 51% i inne poważne problemy. Druga luka w usłudze RPC umożliwia atakującemu zawieszenie węzła za pomocą żądania RPC. Jednak pomyślne wykorzystanie wymaga ważnych danych uwierzytelniających, co zmniejsza prawdopodobieństwo, że cała sieć będzie zagrożona z powodu wykonywania przez niektóre węzły poleceń zatrzymania. Trzecia luka umożliwia atakującemu wykonanie kodu w kontekście użytkownika uruchamiającego węzeł za pośrednictwem RPC. Jednak ten exploit jest mniej prawdopodobny, ponieważ do przeprowadzenia ataku wymagane są ważne dane uwierzytelniające.
Halborn oświadczył, że opracował zestaw exploitów dla Rab13, który zawiera weryfikację koncepcji z konfigurowalnymi parametrami w celu zademonstrowania ataków na różne sieci. Wszystkie niezbędne informacje techniczne zostały udostępnione zidentyfikowanym interesariuszom, aby pomóc im naprawić błędy i wydać niezbędne poprawki dla społeczności i górników. W przypadku projektów wykorzystujących węzły oparte na UTXO (takie jak Dogecoin) zaleca się aktualizację wszystkich węzłów do najnowszej wersji (1.14.6). Ze względu na powagę problemu Halborn nie poda obecnie dalszych szczegółów technicznych ani dotyczących exploitów.