280 o higit pang mga blockchain network ang tinatayang nasa panganib ng "zero-day" na mga pagsasamantala na maaaring maglagay ng hindi bababa sa $25 bilyon na halaga ng crypto sa panganib, ayon sa cybersecurity firm Halborn.
Sa isang Mar. 13 Blog, Nagbabala si Halborn tungkol sa kahinaan na tinawag nitong "Rab13s" - idinagdag na ito ay nagtrabaho na sa ilang mga blockchain, tulad ng Dogecoin, Litecoin at Zcash, upang magsagawa ng pag-aayos para dito.
Natuklasan ng Halborn ang napakalaking #ZeroDay nakakaapekto sa Dogecoin at 280+ network kabilang ang Litecoin at Zcash, na naglalagay ng higit sa $25 Bilyon ng mga digital na asset sa panganib!
...
- Halborn (@HalbornSecurity) Marso 13, 2023
Ang Halborn ay kinontrata ng Dogecoin noong Marso 2022 upang magsagawa ng pagsusuri sa seguridad ng codebase nito at natagpuan ang "ilang kritikal at mapagsamantalang kahinaan."
Nang maglaon ay natukoy ang mga iyon parehong mga kahinaan “naapektuhan ang mahigit 280 iba pang network” na nagsapanganib ng bilyun-bilyong dolyar na halaga ng mga cryptocurrencies.
Binalangkas ni Halborn ang tatlong mga kahinaan, ang "pinaka-kritikal" kung saan ay nagbibigay-daan sa isang umaatake na "magpadala ng mga ginawang malisyosong mensahe ng pinagkasunduan sa mga indibidwal na node, na nagiging sanhi ng bawat isa sa pagsasara."
3/ Ang pinaka-kritikal na kahinaan na natuklasan ay nauugnay sa mga pakikipag-ugnayan ng peer-to-peer (p2p) kung saan ang mga umaatake ay maaaring gumawa ng mga mensahe ng pinagkasunduan at ipadala ito sa mga indibidwal na node, na ginagawa itong offline.
Halborn researchers, pinangunahan ni @safe_buffer, ay pinangalanan ng code ang kahinaang ito #Rab13s.
- Halborn (@HalbornSecurity) Marso 13, 2023
Idinagdag nito ang mga mensaheng ito sa paglipas ng panahon ay maaaring ilantad ang blockchain sa a 51% attack kung saan kinokontrol ng isang attacker ang karamihan ng network rate ng hash ng pagmimina o staked token para makagawa ng bagong bersyon ng blockchain o dalhin ito offline.
Ang iba pang mga zero-day na kahinaan na nakita nito ay magbibigay-daan sa mga potensyal na umaatake na mag-crash mga node ng blockchain sa pamamagitan ng pagpapadala ng mga kahilingan sa Remote Procedure Call (RPC) — isang protocol na nagpapahintulot sa isang programa na makipag-usap at humiling ng mga serbisyo mula sa iba.
7/ Pangalawa, ang mga umaatake ay maaaring magsagawa ng code sa pamamagitan ng pampublikong interface (RPC) bilang isang normal na gumagamit ng node. Dahil kailangan ng valid na kredensyal para maisagawa ang pag-atake, mas mababa ang posibilidad ng pagsasamantalang ito.
- Halborn (@HalbornSecurity) Marso 13, 2023
Idinagdag nito na ang posibilidad ng mga pagsasamantalang nauugnay sa RPC ay mas mababa dahil nangangailangan ito ng mga wastong kredensyal upang maisagawa ang pag-atake.
"Dahil sa mga pagkakaiba sa codebase sa pagitan ng mga network, hindi lahat ng mga kahinaan ay magagamit sa lahat ng mga network, ngunit kahit isa sa mga ito ay maaaring mapagsamantalahan sa bawat network," babala ni Halborn.
Nauugnay: Jump Crypto at Oasis.app 'counter exploits' Wormhole hacker sa halagang $225M
Sinabi ng kompanya na sa ngayon ay hindi ito naglalabas ng mga karagdagang teknikal na detalye ng mga pagsasamantala dahil sa kalubhaan ng mga ito at idinagdag na gumawa ito ng "magandang loob na pagsisikap" upang makipag-ugnayan sa lahat ng apektadong partido upang ibunyag ang mga potensyal na pagsasamantala at magbigay ng remediation para sa mga kahinaan.
Ang Dogecoin, Zcash at Litecoin ay nagpatupad na ng mga patch para sa mga natuklasang kahinaan, ngunit daan-daan pa rin ang maaaring malantad ayon sa Halborn.
Pinagmulan: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm