Halborn zibersegurtasun enpresaren arabera, gutxienez 280 milioi dolarreko kriptografia arriskuan jar dezaketen "zero eguneko" ustiapenen arriskuan daude 25 bloke-sare edo gehiago.
Martxoaren 13an Bloga, Halbornek "Rab13s" izendatu zuen ahultasunaz ohartarazi zuen - dagoeneko bloke-kate batzuekin lan egin duela gehitu du, hala nola Dogecoin, Litecoin eta Zcash-ek, konponketa bat jartzeko.
Halbornek masiboa aurkitu zuen #ZeroEguna Dogecoin eta 280 sare baino gehiago eraginez Litecoin eta Zcash barne, 25 milioi dolar aktibo digitalak arriskuan jarriz!
...
- Halborn (@HalbornSecurity) Martxoaren 13, 2023
Halborn Dogecoin-ek kontratatu zuen 2022ko martxoan bere kode-basearen segurtasun-berrikuspena egiteko eta "hainbat ahultasun kritiko eta ustiagarri" aurkitu zituen.
Geroago zehaztu zituen horiek ahultasun berdinak "Beste 280 sare baino gehiagori eragin zien" milioika dolar kripto-moneta arriskuan jartzen zituztenak.
Halborn-ek hiru ahultasun azaldu zituen, eta horietako "kritikoenak" erasotzaile bati "nodo indibidualetara landutako adostasun mezu gaiztoak bidaltzeko aukera ematen dio, bakoitza itzaltzea eraginez".
3/ Aurkitutako ahultasunik larriena peer-to-peer (p2p) komunikazioekin erlazionatuta dago, non erasotzaileek adostasun-mezuak landu ditzakete eta banako nodoetara bidali, lineaz kanpo eramanez.
Halborn ikertzaileak, buru @safe_buffer, ahultasun horri kode-izena jarri diote #Rab13s.
- Halborn (@HalbornSecurity) Martxoaren 13, 2023
Denborarekin mezu hauek gehitu zituen bloke-katea a % 51 erasoa non erasotzaile batek sarearen gehiengoa kontrolatzen duen meatzaritza hash tasa edo staked tokenak bloke-katearen bertsio berri bat egiteko edo lineaz kanpo hartzeko.
Aurkitu dituen zero-eguneko beste ahultasun batzuek erasotzaile potentzialak kraskatzea ahalbidetuko lukete blockchain nodoak Urruneko Prozedura Deia (RPC) eskaerak bidaliz — programa bati beste bati komunikatzeko eta zerbitzuak eskatzeko aukera ematen dion protokoloa.
7/ Bigarrenik, erasotzaileek interfaze publikoaren bidez (RPC) kodea exekutatu dezakete nodoen erabiltzaile arrunt gisa. Erasoa burutzeko baliozko kredentzial bat behar denez, ustiapen honen probabilitatea txikiagoa da.
- Halborn (@HalbornSecurity) Martxoaren 13, 2023
RPCrekin lotutako ustiapenen probabilitatea txikiagoa zela gaineratu zuen, erasoa egiteko baliozko kredentzialak behar baititu.
"Sareen arteko kode-oinarrien desberdintasunak direla eta, ahultasun guztiak ez dira sare guztietan ustiatzen, baina haietako bat gutxienez sare bakoitzean ustiatu daiteke", ohartarazi du Halbornek.
Zerikusia: Jump Crypto eta Oasis.app-ek Wormhole hacker "aurreratu" 225 milioi dolarren truke
Konpainiak esan du momentu honetan ez dituela ustiatuen xehetasun tekniko gehiago kaleratzen haien larritasuna dela eta, eta gaineratu du "fede oneko ahalegina" egin duela kaltetutako alderdi guztiekin harremanetan jartzeko balizko ustiapenak ezagutzera emateko eta ahuleziak konpontzeko.
Dogecoin, Zcash eta Litecoin-ek dagoeneko inplementatu dituzte aurkitutako ahultasunetarako adabakiak, baina oraindik ehunka egon litezke agerian Halbornen arabera.
Iturria: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm