Firma e sigurisë Blockchain, Halborn ka zbuluar disa dobësi kritike dhe të shfrytëzueshme që ndikojnë në më shumë se 280 rrjete, duke përfshirë Litecoin (LTC) dhe Zcash (ZEC). Me emrin e koduar "Rab13s", kjo dobësi ka vënë në rrezik mbi 25 miliardë dollarë asete dixhitale.
Kjo u zbulua për herë të parë në rrjetin Dogecoin një vit më parë, i cili më pas u rregullua nga ekipi që qëndron pas memecoin-it kryesor.
51% Sulmet dhe çështje të tjera
Sipas postimit zyrtar të blogut, studiuesit e Holborn zbuluan cenueshmërinë më kritike në lidhje me komunikimet peer-to-peer (p2p), të cilat, nëse shfrytëzohen, mund t'i ndihmojnë sulmuesit të krijojnë mesazhe konsensusi dhe t'i dërgojnë ato në nyje individuale dhe t'i marrin ato jashtë linje. Përfundimisht, një kërcënim i tillë mund t'i ekspozojë rrjetet ndaj rreziqeve të tilla si sulme 51% dhe çështje të tjera të rënda.
"Një sulmues mund të zvarritet kolegët e rrjetit duke përdorur mesazhin getaddr dhe të sulmojë nyjet e papatchuara."
Firma identifikoi një tjetër ditë zero e cila lidhej në mënyrë unike me Dogecoin, duke përfshirë një cenueshmëri të ekzekutimit të kodit në distancë RPC (Remote Procedure Call) që ndikonte minatorët individualë.
Variantet e këtyre ditëve zero u zbuluan gjithashtu në rrjete të ngjashme blockchain, si Litecoin dhe Zcash. Ndërsa jo të gjitha gabimet janë të natyrës së shfrytëzuar për shkak të dallimeve në bazën e kodeve midis rrjeteve, të paktën një prej tyre mund të shfrytëzohet nga sulmuesit në secilin rrjet.
Në rastin e rrjeteve të cenueshme, Halborn tha se shfrytëzimi i suksesshëm i dobësisë përkatëse mund të çojë në mohimin e shërbimit ose ekzekutimin e kodit në distancë.
Platforma e sigurisë beson se thjeshtësia e këtyre dobësive të Rab13s rrit mundësinë e sulmit.
Pas hetimeve të mëtejshme, studiuesit e Halborn gjetën një dobësi të dytë në shërbimet RPC që i mundësoi një sulmuesi të rrëzonte nyjen përmes kërkesave RPC. Por shfrytëzimi i suksesshëm do të kërkonte kredenciale të vlefshme. Kjo zvogëlon mundësinë që i gjithë rrjeti të jetë në rrezik sepse disa nyje zbatojnë komandën stop.
Një cenueshmëri e tretë, nga ana tjetër, i lejon entitetet me qëllim të keq të ekzekutojnë kodin në kontekstin e përdoruesit që drejton nyjen përmes ndërfaqes publike (RPC). Mundësia e këtij shfrytëzimi është gjithashtu e ulët pasi edhe kjo kërkon një kredencial të vlefshëm për të kryer një sulm të suksesshëm.
Shfrytëzimi i gabimeve
Ndërkohë, është zhvilluar një komplet shfrytëzimi për Rab13s që përfshin një provë koncepti me parametra të konfigurueshëm për të demonstruar sulmet në rrjete të tjera të ndryshme.
Halborn ka konfirmuar ndarjen e të gjitha detajeve të nevojshme teknike me palët e interesuara të identifikuara për t'i ndihmuar ata të korrigjojnë defektet, si dhe për të lëshuar arnimet përkatëse për komunitetin dhe minatorët.
Binance Falas 100 $ (ekskluzive): Përdorni këtë lidhje për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (kushte).
Oferta Speciale PrimeXBT: Përdorni këtë lidhje për t'u regjistruar dhe futni kodin POTATO50 për të marrë deri në 7,000 dollarë në depozitat tuaja.
Burimi: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/