ბლოკჩეინის უსაფრთხოების ფირმა, Halborn-მა აღმოაჩინა რამდენიმე კრიტიკული და ექსპლუატირებადი დაუცველობა, რომელიც გავლენას ახდენს 280-ზე მეტ ქსელზე, მათ შორის Litecoin (LTC) და Zcash (ZEC). კოდური სახელწოდებით „Rab13s“, ამ დაუცველობამ 25 მილიარდ დოლარზე მეტი ციფრული აქტივი რისკის ქვეშ დააყენა.
ეს პირველად აღმოაჩინა Dogecoin ქსელში ერთი წლის წინ, რომელიც შემდეგ დააფიქსირა გუნდმა პრემიერ memecoin-ის უკან.
51% თავდასხმები და სხვა საკითხები
ოფიციალური ბლოგის პოსტის მიხედვით, ჰოლბორნის მკვლევარებმა აღმოაჩინეს ყველაზე კრიტიკული დაუცველობა, რომელიც დაკავშირებულია თანატოლებთან (p2p) კომუნიკაციებთან, რომლებიც, ექსპლუატაციის შემთხვევაში, დაეხმარება თავდამსხმელებს შეადგინონ კონსენსუსის შეტყობინებები და გაგზავნონ ისინი ცალკეულ კვანძებში და გადაიტანონ ისინი ხაზგარეშე. საბოლოო ჯამში, ასეთმა საფრთხემ შეიძლება ქსელები გამოავლინოს ისეთი რისკების წინაშე, როგორიცაა 51% შეტევები და სხვა მძიმე პრობლემები.
„თავდამსხმელს შეუძლია დაათვალიეროს ქსელის თანატოლები getaddr შეტყობინების გამოყენებით და შეუტიოს დაუფარავ კვანძებს“.
ფირმამ დაადგინა კიდევ ერთი ნულოვანი დღე, რომელიც ცალსახად იყო დაკავშირებული Dogecoin-თან, მათ შორის RPC (Remote Procedure Call) დისტანციური კოდის შესრულების დაუცველობა, რომელიც გავლენას ახდენს ცალკეულ მაინერებზე.
ამ ნულოვანი დღეების ვარიანტები ასევე აღმოაჩინეს მსგავს ბლოკჩეინ ქსელებში, როგორიცაა Litecoin და Zcash. მიუხედავად იმისა, რომ ყველა ხარვეზი არ არის ექსპლუატირებადი ბუნებით, ქსელებს შორის კოდების ბაზის განსხვავებების გამო, მინიმუმ ერთი მათგანი შეიძლება გამოიყენოს თავდამსხმელებმა თითოეულ ქსელში.
დაუცველი ქსელების შემთხვევაში, ჰალბორნმა თქვა, რომ შესაბამისი დაუცველობის წარმატებულმა გამოყენებამ შეიძლება გამოიწვიოს სერვისზე უარის თქმა ან კოდის დისტანციური შესრულება.
უსაფრთხოების პლატფორმა თვლის, რომ Rab13s ამ დაუცველობის სიმარტივე ზრდის თავდასხმის შესაძლებლობას.
შემდგომი გამოძიების შედეგად, ჰალბორნის მკვლევარებმა აღმოაჩინეს მეორე დაუცველობა RPC სერვისებში, რამაც საშუალება მისცა თავდამსხმელს დაეშვა კვანძი RPC მოთხოვნის საშუალებით. მაგრამ წარმატებული ექსპლუატაციისთვის საჭირო იქნება მოქმედი სერთიფიკატები. ეს ამცირებს მთელი ქსელის რისკის ქვეშ ყოფნის შესაძლებლობას, რადგან ზოგიერთი კვანძი ახორციელებს გაჩერების ბრძანებას.
მეორე მხრივ, მესამე დაუცველობა საშუალებას აძლევს მავნე სუბიექტებს შეასრულონ კოდი მომხმარებლის კონტექსტში, რომელიც აწარმოებს კვანძს საჯარო ინტერფეისის (RPC) მეშვეობით. ამ ექსპლოიტის ალბათობა ასევე დაბალია, რადგან ეს მოითხოვს მოქმედ რწმუნებას წარმატებული შეტევის განსახორციელებლად.
შეცდომების ექსპლოიტები
იმავდროულად, შემუშავდა Rab13s-ის ექსპლოიტის ნაკრები, რომელიც მოიცავს კონცეფციის მტკიცებულებას კონფიგურირებადი პარამეტრებით, რათა აჩვენოს თავდასხმები სხვადასხვა ქსელებზე.
ჰალბორნმა დაადასტურა ყველა საჭირო ტექნიკური დეტალის გაზიარება იდენტიფიცირებულ დაინტერესებულ მხარეებთან, რათა დაეხმაროს მათ შეცდომების გამოსწორებაში, ასევე გაათავისუფლოს შესაბამისი პატჩები საზოგადოებისა და მაინერებისთვის.
Binance უფასო $100 (ექსკლუზივი): გამოიყენეთ ეს ბმული, რათა დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ვადები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული, რომ დარეგისტრირდეთ და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/