280 blokklánc lehet veszélyben egy biztonsági rés miatt

Több mint 280 blokklánc van kitéve a “nulladik napi támadások” veszélyének, figyelmeztet egy biztonsági cég. A Dogecoin, a Zcash és a Litecoin már befoltozta a kritikus biztonsági réseket, de több száz másik talán még nem, ami több milliárd dollárnyi kriptót kockáztat.

Több mint 280 blokklánchálózatot fenyegetnek “nulladik napi” biztonsági rések, amelyek legalább 25 milliárd dollár értékű kriptót veszélyeztethetnek – legalábbis a Halborn kiberbiztonsági, blokklánc-biztonsággal foglalkozó cég szerint. Egy március 13-i blogbejegyzésben a vállalat figyelmeztetett az általa „Rab13s”-nek nevezett problémára. Hozzátette, hogy már dolgozott néhány blokklánc, például a Dogecoin, a Litecoin és a Zcash fejlesztőivel a javítás bevezetése érdekében.

A Dogecoinnál vették észre először a biztonsági rést

Amint Halborn elmondta, 2022 márciusában szerződést kötöttek vele a Dogecoin kódjának biztonsági felülvizsgálatára, és “számos kritikus és kiaknázható sebezhetőséget” talált. Később megállapította, hogy ugyanezek a sebezhetőségek több mint 280 másik hálózatot is érintettek. Ami több milliárd dollár értékű kriptovalutát tett ki veszélynek.

Halborn három sebezhetőséget vázolt fel. Ezek közül a legkritikusabb lehetővé teszi a támadó számára, hogy saját készítésű, rosszindulatú konszenzusüzeneteket küldjön az egyes csomópontoknak (node-oknak, szervereknek), amelyek a leállásukat okozzák.

A rettegett 51 százalékos támadás

Hozzátette, hogy ezek az üzenetek idővel lehetővé tehetnek a blokklánc ellen egy 51 százalékos támadást is. Ekkor a támadó már a hálózat bányászati hashrátájának vagy a letétbe helyezett (stake-elt) tokeneknek a többségét ellenőrzi, hogy elkészítse a blokklánc új verzióját vagy teljesen kikapcsolja azt.

A nulladik napi támadás (zero-day vagy zero-hour támadás) egy biztonsági fenyegetés, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, ami még nem került publikálásra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el azt foltozó biztonsági javítás írja a Wikipedia.

Más, általa talált nulladik napi rések lehetővé tennék a potenciális támadók számára, hogy a blokklánc csomópontjait összeomlasszák Remote Procedure Call (RPC) kérések küldésével. (Ez a protokoll lehetővé teszi, hogy egy program kommunikáljon és szolgáltatásokat kérjen egy másiktól.) Hozzátette, hogy az RPC-támadás valószínűsége kisebb, mivel ahhoz érvényes hitelesítő adatokra van szükség.

Kapcsolatba léptek mindenkivel

A hálózatok közötti kódkészletbeli különbségek miatt nem minden sebezhetőség használható ki az összes hálózaton, de legalább egy közülük mindegyik hálózaton lehetséges – figyelmeztetett a Halborn. A cég egyelőre nem közöl további technikai részleteket a biztonsági résekről azok súlyossága miatt. De erőfeszítéseket tettek, hogy kapcsolatba lépjenek minden érintett féllel, és javítási megoldás készülhessen.

A Dogecoin, a Zcash és a Litecoin már implementálta a felfedezett biztonsági rések javítását, de a Halborn szerint még mindig több százan lehetnek veszélyben.

Kapcsolódó cikkeink:

A 9 legnagyobb kriptós hackertámadás 2022-ben

Bitcoin ATM-ek nulladik napi sebezhetőségét kihasználva lopták el az emberek pénzét

Veszélyben lehet a kriptód, ha Microsoft Word-öt használsz

Címlapkép forrása: Pixabay.com