חברת אבטחת סייבר, Halborn, הזהירה לאחרונה מפני פגיעות שעלולה להעמיד למעלה מ-280 רשתות בלוקצ'יין בסיכון לניצול של יום אפס, שעלולה לחשוף קריפטו בשווי של לפחות 25 מיליארד דולר. לפגיעות, שהאלבורן כינה "Rab13s", עשויה להיות השלכות משמעותיות על הרשתות המושפעות, והלבורן כבר עבד עם כמה רשתות, כגון Dogecoin, Litecoin ו-Zcash, כדי ליישם תיקון.
האזהרה מגיעה לאחר שהלבורן התקשר במרץ 2022 לביצוע סקירת אבטחה של בסיס הקוד של Dogecoin ומצא "מספר נקודות תורפה קריטיות וניתנות לניצול". מאוחר יותר גילה הלבורן שאותן נקודות תורפה "השפיעו על למעלה מ-280 רשתות אחרות", שסיכנו מטבעות קריפטוגרפיים בשווי מיליארדי דולרים.
הלבורן תיאר שלוש נקודות תורפה, כשהקריטית ביותר מאפשרת לתוקף "לשלוח הודעות קונצנזוס זדוניות מעוצבות לצמתים בודדים, ולגרום לכל אחד מהם להיסגר". הודעות אלו לאורך זמן עלולות לחשוף את הבלוקצ'יין למתקפה של 51%, שבה תוקף שולט ברוב קצב ה-hash הכרייה של הרשת או אסימוני ההימור כדי ליצור גרסה חדשה של הבלוקצ'יין או לקחת אותו במצב לא מקוון.
Halborn מצא פגיעויות אחרות של יום אפס שיאפשרו לתוקפים פוטנציאליים לקרוס צמתי בלוקצ'יין על ידי שליחת בקשות של Remote Procedure Call (RPC) - פרוטוקול המאפשר לתוכנית לתקשר ולבקש שירותים מאחר. עם זאת, הלבורן הוסיף כי הסבירות לניצולים הקשורים ל-RPC הייתה נמוכה יותר, מכיוון שהיא דרשה אישורים תקפים כדי לבצע את המתקפה.
הלבורן הזהיר כי בשל הבדלי בסיס קוד בין רשתות, לא כל הפגיעות ניתנות לניצול בכל הרשתות, אבל לפחות אחת מהן עשויה להיות ניתנת לניצול בכל רשת. חברת אבטחת הסייבר אמרה כי היא אינה מפרסמת פרטים טכניים נוספים על הניצול בשל חומרתם והוסיפה כי היא עשתה "מאמץ בתום לב" ליצור קשר עם כל הצדדים המושפעים כדי לחשוף את הניצול הפוטנציאלי ולספק תיקון לנקודות התורפה.
בעוד Dogecoin, Zcash ו-Litecoin כבר יישמו תיקונים עבור הפגיעויות שהתגלו, הלבורן הזהיר שמאות רשתות אחרות עדיין עלולות להיחשף. הפוטנציאל של ניצול יום אפס אלה להשפיע על מטבעות קריפטוגרפיים בשווי מיליארדי דולרים מדגיש את החשיבות של אמצעי אבטחת סייבר חזקים וביקורות אבטחה סדירות עבור רשתות בלוקצ'יין. ככל שהאימוץ של בלוקצ'יין ממשיך לגדול, סביר להניח שהאקרים ימשיכו למקד נקודות תורפה ברשתות אלו, מה שהופך את הצורך באמצעי אבטחה חזקים יותר לקריטיים יותר.
מקור: https://blockchain.news/news/cybersecurity-firm-halborn-warns-of-zero-day-vulnerabilities-in-over-280-blockchain-networks