Blockchain қауіпсіздік фирмасы Halborn Litecoin (LTC) және Zcash (ZEC) қоса алғанда, 280-ден астам желілерге әсер ететін бірнеше маңызды және пайдалануға болатын осалдықтарды анықтады. «Rab13s» коды бар бұл осалдық 25 миллиард доллардан астам сандық активтерге қауіп төндірді.
Бұл бірінші рет Dogecoin желісінде бір жыл бұрын анықталды, содан кейін оны бірінші мемекойнның артындағы топ бекітті.
51% шабуылдар және басқа мәселелер
Ресми блог жазбасына сәйкес, Холборн зерттеушілері пайдаланушыларға консенсус хабарламаларын жасауға және оларды жеке түйіндерге жіберуге және оларды офлайн режимде ұстауға көмектесетін тең дәрежелі (p2p) байланыстарға қатысты ең маңызды осалдықты тапты. Сайып келгенде, мұндай қауіп желілерді 51% шабуылдар және басқа да ауыр мәселелер сияқты тәуекелдерге ұшыратуы мүмкін.
«Шабуылдаушы getaddr хабарламасын пайдаланып желі құрдастарын тексеріп шығып, түзетілмеген түйіндерге шабуыл жасай алады.»
Фирма Dogecoin-ге ерекше қатысты басқа нөлдік күнді анықтады, оның ішінде жеке кеншілерге әсер ететін RPC (Remote Procedure Call) қашықтан кодты орындау осалдығы.
Бұл нөлдік күндердің нұсқалары Litecoin және Zcash сияқты ұқсас блокчейн желілерінде де табылды. Желілер арасындағы кодтық базаның айырмашылығына байланысты барлық қателер табиғатта пайдаланылмайтынымен, олардың кем дегенде біреуін әрбір желідегі шабуылдаушылар пайдалануы мүмкін.
Әлсіз желілер жағдайында Халборн сәйкес осалдықты сәтті пайдалану қызмет көрсетуден бас тартуға немесе қашықтан кодты орындауға әкелуі мүмкін екенін айтты.
Қауіпсіздік платформасы бұл Rab13s осалдықтарының қарапайымдылығы шабуыл мүмкіндігін арттырады деп санайды.
Қосымша тергеуден кейін Halborn зерттеушілері RPC қызметтерінде шабуылдаушыға RPC сұраулары арқылы түйінді бұзуға мүмкіндік беретін екінші осалдықты тапты. Бірақ табысты пайдалану жарамды тіркелгі деректерін қажет етеді. Бұл бүкіл желінің қауіп-қатерге ұшырау мүмкіндігін азайтады, себебі кейбір түйіндер тоқтату пәрменін орындайды.
Үшінші осалдық, екінші жағынан, зиянды нысандарға жалпы интерфейс (RPC) арқылы түйінді іске қосатын пайдаланушы контекстінде кодты орындауға мүмкіндік береді. Бұл эксплуатацияның ықтималдығы да төмен, өйткені бұл сәтті шабуыл жасау үшін жарамды тіркелгі деректерін қажет етеді.
Қателерді пайдалану
Сонымен қатар, әртүрлі басқа желілерге жасалған шабуылдарды көрсету үшін конфигурацияланатын параметрлері бар тұжырымдаманың дәлелін қамтитын Rab13s эксплойт жинағы әзірленді.
Халборн қателерді жоюға, сондай-ақ қауымдастық пен кеншілерге тиісті патчтарды шығаруға көмектесу үшін анықталған мүдделі тараптармен барлық қажетті техникалық мәліметтерді бөлісетінін растады.
Binance Тегін $100 (ерекше): тіркелу және Binance Futures бірінші айда $100 тегін және 10% жеңілдік алу үшін осы сілтемені пайдаланыңыз. (шарттар).
PrimeXBT Арнайы ұсынысы: Тіркелу үшін осы сілтемені пайдаланыңыз және депозиттеріңізде $50 7,000 дейін алу үшін POTATOXNUMX кодын енгізіңіз.
Дереккөз: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/