Почти в 300 блокчейнах нашли фатальную уязвимость «нулевого дня»
Более 280 блокчейнов уязвимы перед эксплойтом «нулевого дня»*. Об этом у себя на сайте сообщили исследователи фирмы Halborn. Впервые фирма нашла уязвимость в блокчейне Dogecoin в марте 2022 года. Дыру залатали, однако позже исследователи обнаружили аналогичные изъяны в сотнях блокчейнах, включая Litecoin и Zcash. По подсчетам экспертов, злоумышленники могут похитить до $25 млрд, проведя атаку «нулевого дня».
- «Нулевой день» — термин, описывающий недавно обнаруженные уязвимости. Такие эксплойты представляют серьезную угрозу для системы безопасности, поскольку патча для их решения может не быть.
Уязвимость под кодовым названием Rab13s связана с одноранговыми переводами между криптовалютными кошельками. Выяснилось, что злоумышленники могут отключать ноды (валидаторов/майнеров) от сети всего лишь с помощью одной транзакции с вредоносным кодом. Отключив достаточное количество нод, хакер может провернуть атаку 51%. Помимо зараженных транзакций, хакеры могут отключить ноду при помощи RPC-сообщений. Впрочем, для проведения такой атаки в ноде должны быть прописаны обширные права доступа, что сразу сужает масштаб атаки.
В Halborn признают, что нет универсального подхода по заражению всех сетей одним скриптом из-за разной архитектуры у блокчейнов. Однако по отдельности каждая сеть все же уязвима перед атаками Rab13s, добавили аналитики. В Halborn призвали валидаторов сети Dogecoin обновить ноды до версии 1.14.6. Аналитики отказались публиковать технические детали уязвимостей из-за высокого уровня угрозы для сетей.
В феврале 2023 года аналитики венчурной фирмы Jump Crypto обнаружили серию критических уязвимостей, связанных с эмиссией токенов на BNB Chain (бывш. Binance Smart Chain). В Binance признали наличие эксплойта и позже заявили об исправлении уязвимости. Представители биржи заявили, что подобные уязвимости критически для Web3-индустрии, а глава Binance Чанпэн Чжао поблагодарил исследователей за обнаружение дыры.
Источник: cryptocurrency.tech