Blockchain segurtasun enpresak, Halbornek 280 sare baino gehiagotan eragina duten hainbat ahultasun kritiko eta ustiagarri detektatu ditu, Litecoin (LTC) eta Zcash (ZEC) barne. "Rab13s" izeneko kodean, ahultasun honek 25 milioi dolar baino gehiagoko aktibo digitalak arriskuan jarri ditu.
Hau Dogecoin sarean detektatu zen lehen aldiz duela urtebete, eta orduan konpondu zuen lehen memecoin atzean zegoen taldeak.
%51 Erasoak eta bestelako arazoak
Blog ofizialaren argitalpenaren arabera, Holborneko ikertzaileek peer-to-peer (p2p) komunikazioekin erlazionatutako ahultasunik larriena aurkitu zuten, ustiatzen badira, erasotzaileei adostasun mezuak lantzen eta banako nodoetara bidaltzen eta lineaz kanpo ken diezaiekeen. Azkenean, mehatxu horrek sareak arriskuak jasan ditzake, hala nola, %51eko erasoak eta beste arazo larri batzuk.
"Erasotzaileak sareko pareak arakatu ditzake getaddr mezua erabiliz eta adabakirik gabeko nodoak eraso ditzake".
Enpresak beste zero-egun bat identifikatu zuen Dogecoin-ekin bereziki erlazionatuta zegoena, meatzariei eragiten dien RPC (Urrutiko Prozedura Deia) Urruneko kodea exekutatzeko ahultasuna barne.
Zero-egun horien aldaerak ere aurkitu ziren antzeko blockchain sareetan, hala nola Litecoin eta Zcash-en. Akats guztiak ez diren arren, sareen arteko kode-basearen desberdintasunak direla eta, sare bakoitzeko erasotzaileek gutxienez horietako bat ustiatu dezakete.
Sare zaurgarrien kasuan, Halborn-ek esan zuen dagokion ahultasuna arrakastaz ustiatzeak zerbitzua ukatzea edo urruneko kodea exekutatzeko ekar dezakeela.
Segurtasun plataformak uste du Rab13s ahultasun hauen sinpletasunak erasotzeko aukera areagotzen duela.
Ikerketa gehiago egin ondoren, Halborneko ikertzaileek bigarren ahultasun bat aurkitu zuten RPC zerbitzuetan, erasotzaile bati RPC eskaeren bidez nodoa kraskatzea ahalbidetzen zuena. Baina ustiapen arrakastatsuak baliozko kredentzialak beharko lituzke. Horrek sare osoa arriskuan egoteko aukera murrizten du, nodo batzuek stop komandoa ezartzen dutelako.
Hirugarren ahultasun batek, berriz, entitate gaiztoei kodea exekutatzeko aukera ematen die nodoa exekutatzen duen erabiltzailearen testuinguruan interfaze publikoaren bidez (RPC). Ustiapen honen probabilitatea ere baxua da, honek ere baliozko kredentzial bat behar baitu eraso arrakastatsu bat egiteko.
Akatsen ustiapenak
Bien bitartean, Rab13s-entzako ustiapen-kit bat garatu da, eta kontzeptu-froga bat barne hartzen du parametro konfiguragarriekin, beste hainbat sareren erasoak erakusteko.
Halborn-ek baieztatu du beharrezko xehetasun tekniko guztiak partekatzen dituela identifikatutako eragileekin akatsak konpontzen laguntzeko, baita komunitatearentzat eta meatzarientzat dagozkion adabakiak askatzeko ere.
Binance Doako $ 100 (esklusiboa): Erabili esteka hau erregistratzeko eta jasotzeko $ 100 doan eta % 10eko deskontua Binance Futures-en lehen hilabetean. (baldintzak).
PrimeXBT Eskaintza Berezia: Erabili esteka hau erregistratzeko eta POTATO50 kodea sartzeko, zure gordailuak 7,000 $ jasotzeko.
Iturria: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/