280 atau lebih rangkaian blockchain dianggarkan berisiko terhadap eksploitasi "sifar hari" yang boleh meletakkan sekurang-kurangnya $25 bilion nilai kripto berisiko, menurut firma keselamatan siber Halborn.
Dalam 13 Mac blog, Halborn memberi amaran tentang kelemahan yang digelar "Rab13s" - sambil menambah ia telah pun berfungsi dengan beberapa blok blok, seperti Dogecoin, Litecoin dan Zcash, untuk memulakan pembaikan untuknya.
Halborn ditemui secara besar-besaran #ZeroDay memberi kesan kepada Dogecoin dan 280+ rangkaian termasuk Litecoin dan Zcash, meletakkan lebih $25 Bilion aset digital dalam risiko!
...
- Halborn (@HalbornSecurity) Mac 13, 2023
Halborn telah dikontrak oleh Dogecoin pada Mac 2022 untuk menjalankan semakan keselamatan pangkalan kodnya dan mendapati "beberapa kelemahan kritikal dan boleh dieksploitasi."
Ia kemudiannya menentukan mereka kelemahan yang sama "menjejaskan lebih 280 rangkaian lain" yang mempertaruhkan mata wang kripto bernilai berbilion dolar.
Halborn menggariskan tiga kelemahan, yang "paling kritikal" yang membolehkan penyerang "menghantar mesej konsensus berniat jahat yang dibuat kepada nod individu, menyebabkan setiap nod ditutup."
3/ Kerentanan paling kritikal ditemui adalah berkaitan dengan komunikasi peer-to-peer (p2p) di mana penyerang boleh mencipta mesej konsensus dan menghantarnya ke nod individu, membawanya ke luar talian.
Penyelidik Halborn, diketuai oleh @safe_buffer, telah menamakan kod kerentanan ini #Rab13s.
- Halborn (@HalbornSecurity) Mac 13, 2023
Ia menambah mesej ini dari masa ke masa boleh mendedahkan blockchain kepada a Serangan 51% di mana penyerang mengawal majoriti rangkaian kadar hash perlombongan atau mempertaruhkan token untuk membuat versi baharu blockchain atau membawanya ke luar talian.
Kelemahan sifar hari lain yang ditemuinya akan membolehkan penyerang berpotensi untuk ranap nod blockchain dengan menghantar permintaan Panggilan Prosedur Jauh (RPC) — protokol yang membenarkan program berkomunikasi dan meminta perkhidmatan daripada yang lain.
7/ Kedua, penyerang boleh melaksanakan kod melalui antara muka awam (RPC) sebagai pengguna nod biasa. Memandangkan kelayakan yang sah diperlukan untuk menjalankan serangan, kemungkinan eksploitasi ini adalah lebih rendah.
- Halborn (@HalbornSecurity) Mac 13, 2023
Ia menambah kemungkinan eksploitasi berkaitan RPC adalah lebih rendah kerana ia memerlukan kelayakan yang sah untuk melakukan serangan itu.
"Disebabkan perbezaan asas kod antara rangkaian tidak semua kelemahan boleh dieksploitasi pada semua rangkaian, tetapi sekurang-kurangnya satu daripadanya mungkin boleh dieksploitasi pada setiap rangkaian," Halborn memberi amaran.
Berkaitan: Jump Crypto dan Oasis.app 'counter exploit' Penggodam Wormhole untuk $225J
Firma itu berkata pada masa ini ia tidak mengeluarkan butiran teknikal lanjut mengenai eksploitasi kerana keterukan mereka dan menambah ia membuat "usaha niat baik" untuk menghubungi semua pihak yang terjejas untuk mendedahkan potensi eksploitasi dan menyediakan pemulihan bagi kelemahan.
Dogecoin, Zcash dan Litecoin telah pun melaksanakan patch untuk kelemahan yang ditemui, tetapi beratus-ratus masih boleh didedahkan menurut Halborn.
Sumber: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm