شرکت امنیتی بلاک چین، Halborn چندین آسیب پذیری حیاتی و قابل بهره برداری را شناسایی کرده است که بیش از 280 شبکه از جمله Litecoin (LTC) و Zcash (ZEC) را تحت تاثیر قرار داده است. این آسیب پذیری با نام رمز "Rab13s" بیش از 25 میلیارد دلار دارایی دیجیتال را در معرض خطر قرار داده است.
این اولین بار یک سال پیش در شبکه Dogecoin شناسایی شد، که سپس توسط تیم سازنده memecoin برتر برطرف شد.
51% حملات و سایر مسائل
طبق پست وبلاگ رسمی، محققان هولبورن بحرانیترین آسیبپذیری مربوط به ارتباطات همتا به همتا (p2p) را کشف کردند که در صورت سوءاستفاده، میتواند به مهاجمان کمک کند تا پیامهای اجماع را بسازند و آنها را به گرههای جداگانه ارسال کنند و آنها را آفلاین کنند. در نهایت، چنین تهدیدی میتواند شبکهها را در معرض خطراتی مانند حملات 51 درصدی و سایر مسائل شدید قرار دهد.
"یک مهاجم می تواند با استفاده از پیام getaddr همتایان شبکه را بخزد و به گره های اصلاح نشده حمله کند."
این شرکت روز صفر دیگری را شناسایی کرد که منحصراً به Dogecoin مرتبط بود، از جمله آسیبپذیری اجرای کد از راه دور RPC (Remote Procedure Call) که بر استخراجکنندگان فردی تأثیر میگذارد.
انواع این روزهای صفر نیز در شبکه های بلاک چین مشابه، مانند لایت کوین و زی کش کشف شد. در حالی که به دلیل تفاوت در پایگاه کد بین شبکه ها، ماهیت همه باگ ها قابل بهره برداری نیستند، حداقل یکی از آنها می تواند توسط مهاجمان در هر شبکه مورد سوء استفاده قرار گیرد.
در مورد شبکه های آسیب پذیر، هالبورن گفت که بهره برداری موفقیت آمیز از آسیب پذیری مربوطه می تواند منجر به انکار سرویس یا اجرای کد از راه دور شود.
پلتفرم امنیتی معتقد است که سادگی این آسیب پذیری های Rab13s امکان حمله را افزایش می دهد.
پس از بررسی بیشتر، محققان Halborn آسیب پذیری دومی را در سرویس های RPC پیدا کردند که مهاجم را قادر می ساخت تا گره را از طریق درخواست های RPC خراب کند. اما بهره برداری موفقیت آمیز به اعتبارنامه معتبر نیاز دارد. این احتمال خطر قرار گرفتن کل شبکه را کاهش می دهد زیرا برخی از گره ها دستور توقف را اجرا می کنند.
از سوی دیگر، آسیبپذیری سوم به نهادهای مخرب اجازه میدهد تا کد را در زمینه کاربری که گره را از طریق رابط عمومی (RPC) اجرا میکند، اجرا کنند. احتمال این سوء استفاده نیز کم است زیرا حتی برای انجام یک حمله موفقیت آمیز نیز به اعتبار معتبر نیاز دارد.
سوء استفاده از اشکال
در همین حال، یک کیت اکسپلویت برای Rab13s توسعه یافته است که شامل اثبات مفهومی با پارامترهای قابل تنظیم برای نشان دادن حملات به شبکههای مختلف دیگر است.
Halborn تأیید کرده است که تمام جزئیات فنی لازم را با ذینفعان شناسایی شده برای کمک به رفع اشکالات و همچنین انتشار وصله های مربوطه برای جامعه و ماینرها به اشتراک گذاشته است.
100 دلار رایگان بایننس (انحصاری): برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures از این لینک استفاده کنید. (مقررات).
پیشنهاد ویژه PrimeXBT: برای ثبت نام از این لینک استفاده کنید و کد POTATO50 را وارد کنید تا حداکثر 7,000 دلار در سپرده خود دریافت کنید.
منبع: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/