280 eller flere blokkjedenettverk er estimert til å være utsatt for "nulldagers" utnyttelser som kan sette krypto på minst 25 milliarder dollar i fare, ifølge cybersikkerhetsfirmaet Halborn.
I en 13. mars blog, Halborn advarte om sårbarheten den kalte "Rab13s" - og legger til at den allerede har jobbet med noen blokkjeder, som Dogecoin, Litecoin og Zcash, for å få en løsning på det.
Halborn oppdaget massiv #ZeroDay påvirker Dogecoin og 280+ nettverk, inkludert Litecoin og Zcash, og setter over $25 milliarder av digitale eiendeler i fare!
...
- Halborn (@HalbornSecurity) Mars 13, 2023
Halborn ble kontrahert av Dogecoin i mars 2022 for å gjennomføre en sikkerhetsgjennomgang av kodebasen og fant "flere kritiske og utnyttelige sårbarheter."
Det bestemte senere disse samme sårbarheter "påvirket over 280 andre nettverk" som risikerte kryptovalutaer verdt milliarder av dollar.
Halborn skisserte tre sårbarheter, hvor den "mest kritiske" lar en angriper "sende ondsinnede konsensusmeldinger til individuelle noder, noe som får hver til å stenge."
3/ Den mest kritiske sårbarheten som er oppdaget er relatert til peer-to-peer (p2p) kommunikasjon der angripere kan lage konsensusmeldinger og sende dem til individuelle noder, og ta dem offline.
Halborn-forskere, ledet av @safe_buffer, har kodenavnet dette sikkerhetsproblemet #Rab13s.
- Halborn (@HalbornSecurity) Mars 13, 2023
Det la til at disse meldingene over tid kunne utsette blokkjeden for en 51% angrep hvor en angriper kontrollerer majoriteten av nettverkets gruvedrift hash rate eller satsede tokens for å lage en ny versjon av blokkjeden eller ta den offline.
Andre nulldagssårbarheter den fant ville tillate potensielle angripere å krasje blockchain-noder ved å sende Remote Procedure Call-forespørsler (RPC) - en protokoll som lar et program kommunisere og be om tjenester fra et annet.
7/ For det andre kan angripere kjøre kode gjennom det offentlige grensesnittet (RPC) som en vanlig nodebruker. Siden det kreves en gyldig legitimasjon for å utføre angrepet, er sannsynligheten for denne utnyttelsen lavere.
- Halborn (@HalbornSecurity) Mars 13, 2023
Den la til at sannsynligheten for RPC-relaterte utnyttelser var lavere da det krever gyldig legitimasjon for å gjennomføre angrepet.
"På grunn av kodebaseforskjeller mellom nettverkene kan ikke alle sårbarhetene utnyttes på alle nettverkene, men minst én av dem kan utnyttes på hvert nettverk," advarte Halborn.
Relatert: Jump Crypto og Oasis.app 'counter exploits' Wormhole-hacker for $225M
Firmaet sa at det foreløpig ikke vil gi ut ytterligere tekniske detaljer om utnyttelsene på grunn av deres alvorlighetsgrad, og la til at det gjorde en "god tro innsats" for å kontakte alle berørte parter for å avsløre potensielle utnyttelser og gi utbedring av sårbarhetene.
Dogecoin, Zcash og Litecoin har allerede implementert patcher for de oppdagede sårbarhetene, men hundrevis kan fortsatt bli avslørt ifølge Halborn.
Kilde: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm