Blockchain коопсуздук фирмасы, Halborn 280ден ашык тармактарга, анын ичинде Litecoin (LTC) жана Zcash (ZEC) таасирин тийгизген бир нече маанилүү жана эксплуатациялануучу аялууларды аныктады. "Rab13s" деп аталган бул аялуу 25 миллиард доллардан ашык санариптик активдерди тобокелге салды.
Бул биринчи жолу Dogecoin тармагында бир жыл мурун аныкталган, ал андан кийин премьер-мемекоиндин артында турган команда тарабынан аныкталган.
51% кол салуулар жана башка маселелер
Расмий блог постуна ылайык, Холборндун изилдөөчүлөрү тең-теңге (p2p) коммуникацияларга байланыштуу эң маанилүү кемчиликти табышкан, алар пайдаланылса, чабуулчулар консенсус билдирүүлөрүн жасоого жана аларды жеке түйүндөргө жөнөтүүгө жана аларды оффлайн режимине өткөрүүгө жардам берет. Акыр-аягы, мындай коркунуч, ошондой эле, мисалы, 51% чабуул жана башка оор маселелер сыяктуу тобокелдиктерге тармактарды дуушар кылышы мүмкүн.
"Чабуулчу getaddr билдирүүсү аркылуу тармактын курбуларын сойлоп чыгып, жаңыланбаган түйүндөргө кол салышы мүмкүн."
Фирма Dogecoin менен уникалдуу болгон дагы бир нөл күндү аныктады, анын ичинде жеке шахтерлорго таасир этүүчү RPC (Remote Procedure Call) Алыскы кодду аткаруунун алсыздыгы.
Бул нөлдүк күндөрдүн варианттары Litecoin жана Zcash сыяктуу окшош блокчейн тармактарында да табылган. Тармактар ортосундагы код базасындагы айырмачылыктардан улам бардык мүчүлүштүктөр табиятта колдонулбаса да, алардын жок дегенде бирөөсү ар бир тармактагы чабуулчулар тарабынан пайдаланылышы мүмкүн.
Аялуу тармактарга келсек, Халборн тиешелүү алсыздыкты ийгиликтүү пайдалануу кызмат көрсөтүүдөн баш тартууга же коддун алыстан аткарылышына алып келиши мүмкүн деди.
Коопсуздук платформасы бул Rab13s алсыздыктарынын жөнөкөйлүгү кол салуу мүмкүнчүлүгүн жогорулатат деп эсептейт.
Андан ары иликтөөдөн кийин Халборн изилдөөчүлөрү RPC кызматтарында чабуулчуга RPC сурамдары аркылуу түйүндү бузуп салууга мүмкүндүк берген экинчи алсыздыкты табышты. Бирок ийгиликтүү эксплуатация жарактуу ишеним грамоталарын талап кылат. Бул бүт тармактын коркунучка кабылуу мүмкүнчүлүгүн азайтат, анткени кээ бир түйүндөр токтотуу буйругун аткарышат.
Үчүнчү алсыздык, экинчи жагынан, зыяндуу объекттерге кодду жалпы интерфейс (RPC) аркылуу түйүндү иштеткен колдонуучунун контекстинде аткарууга мүмкүндүк берет. Бул эксплуатациянын ыктымалдыгы да төмөн, анткени ал да ийгиликтүү чабуулду ишке ашыруу үчүн жарактуу ишеним грамотасын талап кылат.
Мүчүлүштүктөрдү пайдалануу
Ошол эле учурда, Rab13s үчүн эксплуатация комплекти иштелип чыкты, анда башка ар кандай тармактарга чабуулдарды көрсөтүү үчүн конфигурациялануучу параметрлери бар концепциянын далили камтылган.
Халборн каталарды оңдоого жардам берүү үчүн, ошондой эле коомчулук жана кенчилер үчүн тиешелүү тактарды чыгаруу үчүн аныкталган кызыкдар тараптар менен бардык керектүү техникалык деталдарды бөлүшүүнү ырастады.
Binance Акысыз $100 (Эксклюзив): Каттоо үчүн бул шилтемени колдонуңуз жана Binance Futures биринчи айында $100 бекер жана 10% арзандатуу жыйымдарын алыңыз (шарттары).
PrimeXBT атайын сунушу: Каттоо үчүн бул шилтемени колдонуңуз жана депозиттериңиз боюнча 50 7,000 долларга чейин алуу үчүн POTATOXNUMX кодун киргизиңиз.
Булак: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/