Blockchain security firm, ang Halborn ay nakakita ng ilang kritikal at mapagsamantalang kahinaan na nakakaapekto sa higit sa 280 network, kabilang ang Litecoin (LTC) at Zcash (ZEC). Ang pinangalanang code na "Rab13s," ang kahinaang ito ay naglagay ng higit sa $25 bilyon ng mga digital asset sa panganib.
Ito ay unang nakita sa Dogecoin network noong isang taon, na pagkatapos ay inayos ng koponan sa likod ng premier memecoin.
51% Mga Pag-atake at Iba Pang Mga Isyu
Ayon sa opisyal na post sa blog, natuklasan ng mga mananaliksik ng Holborn ang pinaka-kritikal na kahinaan na nauugnay sa mga komunikasyon ng peer-to-peer (p2p) na, kung pagsasamantalahan, ay makakatulong sa mga umaatake na gumawa ng mga mensahe ng pinagkasunduan at ipadala ang mga ito sa mga indibidwal na node at dalhin ang mga ito offline. Sa kalaunan, ang ganitong banta ay maaari ring maglantad sa mga network sa mga panganib tulad ng 51% na pag-atake at iba pang matitinding isyu.
"Maaaring i-crawl ng isang attacker ang mga peer sa network gamit ang getaddr message at atakehin ang mga hindi na-patch na node."
Tinukoy ng firm ang isa pang zero-day na kakaibang nauugnay sa Dogecoin, kabilang ang isang RPC (Remote Procedure Call) na kahinaan sa pagpapatupad ng Remote code na nakakaapekto sa mga indibidwal na minero.
Ang mga variant ng mga zero-day na ito ay natuklasan din sa mga katulad na network ng blockchain, tulad ng Litecoin at Zcash. Bagama't hindi lahat ng mga bug ay likas na mapagsamantalahan dahil sa mga pagkakaiba sa codebase sa pagitan ng mga network, kahit isa sa mga ito ay maaaring pagsamantalahan ng mga umaatake sa bawat network.
Sa kaso ng mga mahihinang network, sinabi ni Halborn na ang matagumpay na pagsasamantala sa nauugnay na kahinaan ay maaaring humantong sa pagtanggi sa serbisyo o pagpapatupad ng malayuang code.
Naniniwala ang platform ng seguridad na ang pagiging simple ng mga kahinaang ito ng Rab13 ay nagpapataas ng posibilidad ng pag-atake.
Sa karagdagang pagsisiyasat, natagpuan ng mga mananaliksik ng Halborn ang pangalawang kahinaan sa mga serbisyo ng RPC na nagbigay-daan sa isang attacker na i-crash ang node sa pamamagitan ng mga kahilingan sa RPC. Ngunit ang matagumpay na pagsasamantala ay mangangailangan ng wastong mga kredensyal. Binabawasan nito ang posibilidad na ang buong network ay nasa panganib dahil ang ilang mga node ay nagpapatupad ng stop command.
Ang ikatlong kahinaan, sa kabilang banda, ay nagbibigay-daan sa mga nakakahamak na entity na magsagawa ng code sa konteksto ng gumagamit na nagpapatakbo ng node sa pamamagitan ng pampublikong interface (RPC). Ang posibilidad ng pagsasamantalang ito ay mababa rin dahil kahit na ito ay nangangailangan ng wastong kredensyal upang maisagawa ang isang matagumpay na pag-atake.
Mga Pagsasamantala sa Bug
Samantala, isang exploit kit para sa Rab13s ang binuo na may kasamang patunay ng konsepto na may mga parameter na maaaring i-configure upang ipakita ang mga pag-atake sa iba't ibang network.
Kinumpirma ni Halborn ang pagbabahagi ng lahat ng kinakailangang teknikal na detalye sa mga natukoy na stakeholder upang matulungan silang ayusin ang mga bug, gayundin ang paglabas ng mga nauugnay na patch para sa komunidad at mga minero.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (mga tuntunin).
PrimeXBT Espesyal na Alok: Gamitin ang link na ito para magparehistro at ilagay ang POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/