კიბერუსაფრთხოების ფირმა ჰალბორნის თანახმად, 280 ან მეტი ბლოკჩეინის ქსელი, სავარაუდოდ, ემუქრება „ნულოვანი დღის“ ექსპლოიტების საფრთხის ქვეშ, რამაც შეიძლება მინიმუმ 25 მილიარდი დოლარის ღირებულების კრიპტო რისკის ქვეშ დააყენოს.
13 მარტს წაკითხვაჰალბორნმა გააფრთხილა დაუცველობის შესახებ, რომელსაც უწოდა "Rab13s" - დასძინა, რომ ის უკვე მუშაობდა ზოგიერთ ბლოკჩეინთან, როგორებიცაა Dogecoin, Litecoin და Zcash, რათა დაწესდეს მისი გამოსწორება.
ჰალბორნმა აღმოაჩინა მასიური #ნულოვანი დღე გავლენას მოახდენს Dogecoin-ზე და 280+ ქსელებზე Litecoin-ისა და Zcash-ის ჩათვლით, რის შედეგადაც 25 მილიარდ დოლარზე მეტი ციფრული აქტივები საფრთხეშია!
...
— ჰალბორნი (@HalbornSecurity) მარტი 13, 2023
ჰალბორნს დაუდო კონტრაქტი Dogecoin-ის მიერ 2022 წლის მარტში, რათა ჩაეტარებინა მისი კოდების ბაზის უსაფრთხოების მიმოხილვა და აღმოაჩინა „რამდენიმე კრიტიკული და ექსპლუატირებადი დაუცველობა“.
მოგვიანებით დაადგინა ისინი იგივე სისუსტეები „დაზარალდა 280-ზე მეტი სხვა ქსელი“, რომლებიც რისკავს მილიარდობით დოლარის კრიპტოვალუტას.
ჰალბორნმა გამოავლინა სამი დაუცველობა, რომელთაგან „ყველაზე კრიტიკული“ საშუალებას აძლევს თავდამსხმელს „გააგზავნოს შემუშავებული მავნე კონსენსუსის შეტყობინებები ცალკეულ კვანძებზე, რის შედეგადაც თითოეული დაიხურება“.
3/ აღმოჩენილი ყველაზე კრიტიკული დაუცველობა დაკავშირებულია peer-to-peer (p2p) კომუნიკაციებთან, სადაც თავდამსხმელებს შეუძლიათ შექმნან კონსენსუსის შეტყობინებები და გაუგზავნონ ისინი ცალკეულ კვანძებში, გადაიყვანონ ისინი ხაზგარეშე.
ჰალბორნის მკვლევარები, ხელმძღვანელობით @safe_buffer, დაარქვა ამ დაუცველობას კოდური სახელი #Rab13s.
— ჰალბორნი (@HalbornSecurity) მარტი 13, 2023
მან დაამატა ეს შეტყობინებები დროთა განმავლობაში შეიძლება გამოაშკარავდეს ბლოკჩეინს ა შეტევა სადაც თავდამსხმელი აკონტროლებს ქსელის უმეტესობას მაინინგის ჰეშის მაჩვენებელი ან დადებული ტოკენები ბლოკჩეინის ახალი ვერსიის შესაქმნელად ან ოფლაინში გადასატანად.
სხვა ნულოვანი დღის დაუცველობა, რომელიც მან აღმოაჩინა, პოტენციურ თავდამსხმელებს ავარიის საშუალებას მისცემდა ბლოკჩეინის კვანძები დისტანციური პროცედურის ზარის (RPC) მოთხოვნების გაგზავნით - პროტოკოლი, რომელიც პროგრამას საშუალებას აძლევს დაუკავშირდეს და მოითხოვოს სერვისები სხვისგან.
7/ მეორეც, თავდამსხმელებს შეუძლიათ შეასრულონ კოდი საჯარო ინტერფეისის (RPC) მეშვეობით, როგორც ჩვეულებრივი კვანძის მომხმარებელი. ვინაიდან თავდასხმის განსახორციელებლად საჭიროა მოქმედი სერთიფიკატი, ამ ექსპლოიტის ალბათობა უფრო დაბალია.
— ჰალბორნი (@HalbornSecurity) მარტი 13, 2023
მან დაამატა, რომ RPC-თან დაკავშირებული ექსპლოიტების ალბათობა უფრო დაბალი იყო, რადგან თავდასხმის განსახორციელებლად საჭიროა მოქმედი სერთიფიკატები.
„ქსელებს შორის კოდის ბაზის განსხვავებების გამო, ყველა დაუცველობა არ არის ექსპლუატირებადი ყველა ქსელში, მაგრამ მინიმუმ ერთი მათგანი შეიძლება იყოს ექსპლუატირებადი თითოეულ ქსელში“, - გააფრთხილა ჰალბორნი.
ამავე თემაზე: Jump Crypto და Oasis.app „კონტრექსპლოიტების“ Wormhole ჰაკერი 225 მილიონ დოლარად
ფირმამ განაცხადა, რომ ამ დროისთვის ის არ აქვეყნებს ექსპლოიტების დამატებით ტექნიკურ დეტალებს მათი სიმძიმის გამო და დასძინა, რომ მან გააკეთა "კეთილსინდისიერი ძალისხმევა" დაუკავშირდა ყველა დაზარალებულ მხარეს პოტენციური ექსპლოიტების გასამჟღავნებლად და მოწყვლადობის გამოსწორების მიზნით.
Dogecoin-მა, Zcash-მა და Litecoin-მა უკვე დანერგეს პატჩები აღმოჩენილი დაუცველობისთვის, მაგრამ ჰალბორნის მიხედვით ასობით მაინც შეიძლება გამოვლინდეს.
წყარო: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm