Dogecoin, Zcash và Litecoin đã vá lỗ hổng nghiêm trọng, nhưng hàng trăm lỗ hổng khác có thể không có, gây rủi ro cho tiền điện tử trị giá hàng tỷ đô la.
Trong một blog ngày 13 tháng 3, Halborn đã cảnh báo về lỗ hổng mà nó gọi là Rab13s — đồng thời bổ sung rằng lỗ hổng này đã hoạt động với một số blockchain, chẳng hạn như Dogecoin, Litecoin và Zcash, để đưa ra bản sửa lỗi cho nó.
Halborn discovered massive #ZeroDay impacting Dogecoin and 280+ networks including Litecoin and Zcash, putting over $25 Billion of digital assets at risk!
— Halborn (@HalbornSecurity) March 13, 2023
...
Halborn đã được Dogecoin ký hợp đồng vào tháng 3 năm 2022 để tiến hành đánh giá bảo mật cho cơ sở mã của nó và tìm thấy một số lỗ hổng nghiêm trọng và có thể khai thác.
Sau đó, nó đã xác định những lỗ hổng tương tự đã ảnh hưởng đến hơn 280 mạng khác gây rủi ro cho tiền điện tử trị giá hàng tỷ đô la.
Halborn đã vạch ra ba lỗ hổng bảo mật, trong đó lỗ hổng nghiêm trọng nhất cho phép kẻ tấn công gửi các thông báo đồng thuận độc hại được tạo thủ công tới các Node riêng lẻ, khiến mỗi nút bị tắt.
3/ The most critical vulnerability discovered is related to peer-to-peer (p2p) communications where attackers can craft consensus messages and send it to individual nodes, taking them offline.
— Halborn (@HalbornSecurity) March 13, 2023
Halborn researchers, led by @safe_buffer, have code-named this vulnerability #Rab13s.
Việc thêm các thông báo này theo thời gian có thể khiến blockchain bị tấn công 51% khi kẻ tấn công kiểm soát phần lớn tỷ lệ băm khai thác mạng hoặc Token đã đặt cược để tạo phiên bản blockchain mới hoặc đưa nó vào chế độ ngoại tuyến.
Các lỗ hổng zero-day khác mà nó tìm thấy sẽ cho phép những kẻ tấn công tiềm năng loại bỏ Nodes blockchain bằng cách gửi các yêu cầu Gọi thủ tục từ xa (RPC) — một giao thức cho phép một chương trình giao tiếp và yêu cầu dịch vụ từ một chương trình khác.
7/ Secondly, attackers can execute code through the public interface (RPC) as a normal node user. Since a valid credential is required to carry out the attack, the likelihood of this exploit is lower.
— Halborn (@HalbornSecurity) March 13, 2023
Khả năng khai thác liên quan đến RPC thấp hơn vì nó yêu cầu thông tin xác thực hợp lệ để thực hiện cuộc tấn công.
Do sự khác biệt về cơ sở mã giữa các mạng, không phải tất cả các lỗ hổng đều có thể bị khai thác trên tất cả các mạng, nhưng ít nhất một trong số chúng có thể bị khai thác trên mỗi mạng, Halborn cảnh báo.
Công ty cho biết tại thời điểm này, họ không tiết lộ thêm chi tiết kỹ thuật về các lỗ hổng do mức độ nghiêm trọng của chúng và nói thêm rằng họ đã nỗ lực hết sức để liên hệ với tất cả các bên bị ảnh hưởng để tiết lộ các lỗ hổng tiềm năng và cung cấp biện pháp khắc phục các lỗ hổng.
Dogecoin, Zcash và Litecoin đã triển khai các bản vá cho các lỗ hổng được phát hiện, nhưng hàng trăm vẫn có thể bị lộ theo Halborn.
Theo CoinTelegraph
|
Tags: Halborn, Khai thác blockchain, Khai thác zero day, DOGE, Zcash, LTC, Litecoin, Bản vá, Khai thác, Hack, Lỗ hổng, Array,