280 ба түүнээс дээш блокчейн сүлжээнүүд дор хаяж 25 тэрбум долларын үнэ бүхий криптог эрсдэлд оруулж болзошгүй “тэг өдрийн” мөлжлөгт өртөх эрсдэлтэй гэж кибер аюулгүй байдлын Halborn фирм үзэж байна.
Гуравдугаар сарын 13-нд блог, Halborn "Rab13s" гэж нэрлэсэн эмзэг байдлын талаар анхааруулж, үүнийг засахын тулд Dogecoin, Litecoin, Zcash зэрэг зарим блокчэйнтэй аль хэдийн ажиллаж байсныг нэмж хэлэв.
Халборн асар их массыг нээсэн #Тэг өдөр Dogecoin болон Litecoin, Zcash зэрэг 280 гаруй сүлжээнд нөлөөлж, 25 тэрбум долларын дижитал хөрөнгийг эрсдэлд оруулж байна!
...
- Halborn (@HalbornSecurity) Гуравдугаар сарын 13, 2023
Halborn нь 2022 оны XNUMX-р сард Dogecoin-тэй гэрээ байгуулж, кодын баазынхаа аюулгүй байдлын шалгалтыг хийж, "хэд хэдэн чухал, ашиглах боломжтой эмзэг байдлыг" илрүүлсэн.
Дараа нь эдгээрийг тогтоосон ижил эмзэг байдал Олон тэрбум долларын үнэ бүхий криптовалютыг эрсдэлд оруулсан "280 гаруй бусад сүлжээнд нөлөөлсөн".
Халборн гурван эмзэг байдлыг тодорхойлсон бөгөөд эдгээрийн "хамгийн чухал" нь халдагчид "хувийн зангилаанууд руу зохиосон хорлонтой зөвшилцлийн мессеж илгээж, тус бүрийг хаахад хүргэдэг" боломжийг олгодог.
3/ Илэрсэн хамгийн чухал эмзэг байдал нь халдагчид зөвшилцлийн мессежийг боловсруулж, тэдгээрийг офлайн байдлаар тус тусад нь зангилаа руу илгээх боломжтой үе тэнгийн (p2p) харилцаатай холбоотой.
Тэргүүтэй Халборн судлаачид @safe_buffer, энэ эмзэг байдлыг кодоор нэрлэсэн байна #Rab13s.
- Halborn (@HalbornSecurity) Гуравдугаар сарын 13, 2023
Энэ нь цаг хугацааны явцад эдгээр мессежүүдийг нэмсэн нь блокчлоныг a 51% халдлага Халдагчид сүлжээний ихэнх хэсгийг хянадаг уул уурхайн хэш ханш эсвэл блокчэйний шинэ хувилбарыг гаргах эсвэл офлайн болгохын тулд stakeed жетон ашиглана уу.
Түүний илрүүлсэн бусад тэг өдрийн эмзэг байдал нь болзошгүй халдагчид сүйрэх боломжийг олгоно блокчейн зангилаа Remote Procedure Call (RPC) хүсэлтийг илгээх замаар программыг өөр хүнтэй харилцах, үйлчилгээ хүсэх боломжийг олгодог протокол юм.
7/ Хоёрдугаарт, халдагчид энгийн зангилааны хэрэглэгчийн хувьд нийтийн интерфейсээр (RPC) код ажиллуулж болно. Довтолгоо хийхэд хүчинтэй итгэмжлэл шаардагддаг тул энэ мөлжлөгийн магадлал бага байна.
- Halborn (@HalbornSecurity) Гуравдугаар сарын 13, 2023
Энэ нь халдлага үйлдэхийн тулд хүчинтэй итгэмжлэл шаарддаг тул RPC-тэй холбоотой мөлжлөгийн магадлал бага байсан гэж нэмж хэлэв.
"Сүлжээ хоорондын кодын сангийн зөрүүгээс болж бүх сүлжээн дэх бүх эмзэг байдлыг ашиглах боломжгүй, гэхдээ ядаж нэгийг нь сүлжээ бүрт ашиглах боломжтой" гэж Халборн анхааруулав.
Холбогдох: Jump Crypto болон Oasis.app нь Wormhole хакерыг 225 сая доллараар "сөрөг мөлжлөгт оруулав"
Тус фирм одоогоор мөлжлөгийн ноцтой байдлын улмаас техникийн дэлгэрэнгүй мэдээлэл өгөхгүй байгаа бөгөөд болзошгүй мөлжлөгийг илчлэх, эмзэг байдлыг арилгахын тулд нөлөөлөлд өртсөн бүх талуудтай холбоо барьж "сайн санааны хүчин чармайлт" гаргасан гэж нэмж хэлэв.
Dogecoin, Zcash, Litecoin нар илэрсэн сул талуудын засваруудыг аль хэдийн хэрэгжүүлсэн боловч Halborn-ийн хэлснээр хэдэн зуугаараа илчлэгдэж магадгүй юм.
Эх сурвалж: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm