Почти в 300 блокчейнах нашли фатальную уязвимость «нулевого дня»

Более 280 блокчейнов уязвимы перед эксплойтом «нулевого дня»*. Об этом у себя на сайте сообщили исследователи фирмы Halborn. Впервые фирма нашла уязвимость в блокчейне Dogecoin в марте 2022 года. Дыру залатали, однако позже исследователи обнаружили аналогичные изъяны в сотнях блокчейнах, включая Litecoin и Zcash. По подсчетам экспертов, злоумышленники могут похитить до $25 млрд, проведя атаку «нулевого дня».

  • «Нулевой день» — термин, описывающий недавно обнаруженные уязвимости. Такие эксплойты представляют серьезную угрозу для системы безопасности, поскольку патча для их решения может не быть.

Уязвимость под кодовым названием Rab13s связана с одноранговыми переводами между криптовалютными кошельками. Выяснилось, что злоумышленники могут отключать ноды (валидаторов/майнеров) от сети всего лишь с помощью одной транзакции с вредоносным кодом. Отключив достаточное количество нод, хакер может провернуть атаку 51%. Помимо зараженных транзакций, хакеры могут отключить ноду при помощи RPC-сообщений. Впрочем, для проведения такой атаки в ноде должны быть прописаны обширные права доступа, что сразу сужает масштаб атаки.

В Halborn признают, что нет универсального подхода по заражению всех сетей одним скриптом из-за разной архитектуры у блокчейнов. Однако по отдельности каждая сеть все же уязвима перед атаками Rab13s, добавили аналитики. В Halborn призвали валидаторов сети Dogecoin обновить ноды до версии 1.14.6. Аналитики отказались публиковать технические детали уязвимостей из-за высокого уровня угрозы для сетей.

В феврале 2023 года аналитики венчурной фирмы Jump Crypto обнаружили серию критических уязвимостей, связанных с эмиссией токенов на BNB Chain (бывш. Binance Smart Chain). В Binance признали наличие эксплойта и позже заявили об исправлении уязвимости. Представители биржи заявили, что подобные уязвимости критически для Web3-индустрии, а глава Binance Чанпэн Чжао поблагодарил исследователей за обнаружение дыры.

Источник: cryptocurrency.tech

No votes yet.
Please wait...

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *