מטבע מבוזר מעללים הפכו לאחד האיומים ההולכים וגדלים נגד קידום ואימוץ נכסים דיגיטליים. במהלך השנים, התעשייה סבלה הפסדים עצומים באמצעות מספר ניצולים בשרשראות קריפטו ופלטפורמות קשורות.
למרות שההתקפות מגיעות בצורות שונות, מעללי יום אפס הפכו לסוג בולט וחוזר על עצמו עבור שחקנים גרועים. ניצול מסוג זה טורף את הפגיעויות בתוכנות של בלוקצ'יין ופלטפורמות קריפטו.
דיווח אחרון של חברת אבטחה, Halborn, חושף כי מאות בלוקצ'יין נמצאים כעת בסיכון לניצול של יום אפס.
כמה פגיעויות עיקריות ב- Blockchains נחשפו
לאחרונה, הלבורן חשף הגילוי שלה של ניצול מסיבי של יום אפס הממוקד נגד מספר רשתות קריפטו בלוקצ'יין באמצעות סדרה של פוסטים בטוויטר. פגיעות התוכנה, המתויגת "Rab 13s" הייתה אמורה להשפיע על למעלה מ-280 רשתות כמו Dogecoin, Zcash, Litecoin ואחרות.
חברת האבטחה ציינה כי הניצול עשוי להוביל לאובדן אפשרי של נכסי קריפטו בשווי של יותר מ-25 מיליארד דולר מרשתות היעד.
במרץ 2022, Dogecoin התקשר עם Halborn לביקורת אבטחה של בסיס הקוד שלה. חברת האבטחה הזכירה גילוי פגיעויות קריטיות ופתוחות רבות ברשת Dogecoin. כמו כן, הלבורן דיווח כי אותן נקודות תורפה דומות השפיעו על יותר מ-280 רשתות בלוקצ'יין אחרות בתעשיית הקריפטו.
בפוסט הטוויטר שלו, הלבורן הדגיש כמה פרצות תוכנה ברשתות הבלוקצ'יין החשופות. יש לציין, ה פרצה גדולה ברשתות מאפשר לנצלן ליצור ולשלוח הודעות קונצנזוס זדוניות לצמתים בודדים. לפיכך, התקפה כזו תפעיל כיבוי אוטומטי של הצמתים.
חברת האבטחה הצהירה שהודעות כאלה עלולות לגרום לבלוקצ'יין לסבול א התקף 51% שעות נוספות. לאחר מכן, המנצל יכול לשלוט ברוב הפעולות ברשת, כמו שיעור ה-hash של הכרייה או אסימונים. התוקף יכול אפילו לקחת את הבלוקצ'יין במצב לא מקוון או לפתח גרסה חדשה.
היא ציינה כי היא עשתה מאמץ אמוני סביר ביצירת קשר עם הרשתות המושפעות כדי להילחם בצורה יעילה בפגמים הטכניים. הוא ציין כי הרשתות יכולות גם לפנות לקבלת גילויים אחראיים והחלטות עבור השירותים שלהן. כמו כן, הוא המליץ על שדרוג של כל הצמתים מבוססי UTXO לגרסה העדכנית ביותר עבור רשתות מסוימות כמו Dogecoin.
ניצול אפס יום והשפעותיו על הקריפטו
ניצול של יום אפס היא מתקפת אבטחה המכוונת לפרצות תוכנה במערכות וברשתות. בדרך כלל, נצלן יחפש וישתמש בפרצות תוכנה עבור התקפות לפני שצד המניעה ייכנס.
תעשיות הקריפטו והבלוקצ'יין היו עדות למספר ניצול של יום אפס בעבר. פלטפורמת חוזה חכם, Parity הפסידה בשווי של למעלה מ-30 מיליון דולר של אסימוני Ether ביולי 2017 באמצעות ניצול. האקרים גם תקפו את CryptoKittes בדצמבר 2017 והעבירו ETH בשווי של כ-17 מיליון דולר בתוך יומיים.
ברוב המקרים, התוקפים מקבלים גישה לכספי היעדים שלהם על ידי שליחת מיילים או הודעות דיוג למשתמשים. ברגע שמשתמש פותח את ההודעה או לוחץ על קישורים שהועברו, המנצל ייגש לאישורי המשתמש ולמידע חיוני אחר להתקפה.
תמונה מוצגת מ-Pixabay ותרשים מ- Tradingview.com
מקור: https://bitcoinist.com/crypto-security-firm-claims-blockchains-are-at-risk/