טק

יותר מ-280 בלוקצ'יין בסיכון לניצול "יום אפס", מזהירה חברת אבטחה

03/14/2023
חדשות Ethereum של ביטקוין

על פי הערכות, 280 רשתות בלוקצ'יין או יותר נמצאות בסיכון לניצול "יום אפס" שעלול לסכן לפחות 25 מיליארד דולר של קריפטו, לפי חברת אבטחת הסייבר Halborn.

ב-13 במרץ בלוג, הזהיר הלבורן מפני הפגיעות שכונתה "Rab13s" - והוסיפה שהיא כבר עבדה עם כמה רשתות בלוקצ'יין, כגון Dogecoin, Litecoin ו-Zcash, כדי ליישם תיקון עבורה.

Halborn התקשרה עם Dogecoin במרץ 2022 כדי לערוך סקירת אבטחה של בסיס הקוד שלו ומצאה "מספר נקודות תורפה קריטיות וניתנות לניצול".

תמונה

מאוחר יותר זה קבע את אלה אותן נקודות תורפה "השפיעו על למעלה מ-280 רשתות אחרות" שסיכנו מטבעות קריפטוגרפיים בשווי מיליארדי דולרים.

הלבורן תיאר שלוש נקודות תורפה, כשה"קריטית ביותר" שבהן מאפשרת לתוקף "לשלוח הודעות קונצנזוס זדוניות מעוצבות לצמתים בודדים, ולגרום לכל אחד מהם להיסגר".

היא הוסיפה הודעות אלו לאורך זמן עלולות לחשוף את הבלוקצ'יין ל-a התקף 51% שבו תוקף שולט ברוב הרשתות - כריית חשיש כרייה או אסימונים מוצמדים כדי ליצור גרסה חדשה של הבלוקצ'יין או לקחת אותו במצב לא מקוון.

פגיעויות אחרות של יום אפס שהיא מצאה יאפשרו לתוקפים פוטנציאליים לקרוס צמתים על-ידי שליחת בקשות של Remote Procedure Call (RPC) - פרוטוקול המאפשר לתוכנית לתקשר ולבקש שירותים מאחר.

היא הוסיפה שהסבירות לניצולים הקשורים ל-RPC הייתה נמוכה יותר מכיוון שהיא דורשת אישורים תקפים כדי לבצע את המתקפה.

"בשל הבדלי בסיס קוד בין הרשתות לא כל הפגיעות ניתנות לניצול בכל הרשתות, אבל לפחות אחת מהן עשויה להיות ניתנת לניצול בכל רשת", הזהיר הלבורן.

מידע נוסף: האקר של Jump Crypto ו-Oasis.app 'ניצול נגד' של חור תולעת תמורת 225 מיליון דולר

החברה אמרה כי בשלב זה היא לא מפרסמת פרטים טכניים נוספים על הניצול בשל חומרתם והוסיפה כי היא עשתה "מאמץ בתום לב" ליצור קשר עם כל הצדדים המושפעים כדי לחשוף את הניצול הפוטנציאלי ולספק תיקון לנקודות התורפה.

Dogecoin, Zcash ו-Litecoin כבר יישמו תיקונים עבור הפגיעויות שהתגלו, אך מאות עדיין עלולים להיחשף לפי Halborn.