اكتشفت شركة Halborn للأمان في بلوكتشين العديد من نقاط الضعف الحرجة والقابلة للاستغلال التي تؤثر على أكثر من 280 شبكة ، بما في ذلك Litecoin (LTC) و Zcash (ZEC). هذه الثغرة التي تحمل الاسم الرمزي "Rab13s" ، عرّضت أكثر من 25 مليار دولار من الأصول الرقمية للخطر.
تم اكتشاف هذا لأول مرة في شبكة Dogecoin قبل عام ، والذي تم إصلاحه بعد ذلك من قبل الفريق الذي يقف وراء memecoin الأول.
51٪ هجمات وقضايا أخرى
وفقًا لمدونة المدونة الرسمية ، اكتشف باحثو هولبورن نقاط الضعف الأكثر خطورة المتعلقة بالاتصالات من نظير إلى نظير (p2p) والتي ، إذا تم استغلالها ، يمكن أن تساعد المهاجمين في صياغة رسائل إجماع وإرسالها إلى العقد الفردية ونقلها إلى وضع عدم الاتصال. في نهاية المطاف ، قد يؤدي مثل هذا التهديد أيضًا إلى تعريض الشبكات لمخاطر مثل هجمات 51٪ وغيرها من المشكلات الخطيرة.
"يمكن للمهاجم الزحف إلى أقران الشبكة باستخدام رسالة getaddr ومهاجمة العقد غير المصححة."
حددت الشركة يوم صفر آخر كان مرتبطًا بشكل فريد بـ Dogecoin ، بما في ذلك ثغرة تنفيذ التعليمات البرمجية عن بُعد RPC (استدعاء الإجراء البعيد) التي تؤثر على المعدنين الفرديين.
تم اكتشاف متغيرات أيام الصفر هذه أيضًا في شبكات blockchain مماثلة ، مثل Litecoin و Zcash. في حين أنه ليست كل الأخطاء قابلة للاستغلال بطبيعتها بسبب الاختلافات في قاعدة الشفرة بين الشبكات ، يمكن استغلال واحدة منها على الأقل من قبل المهاجمين على كل شبكة.
في حالة الشبكات الضعيفة ، قال هالبورن إن الاستغلال الناجح للثغرة الأمنية ذات الصلة قد يؤدي إلى رفض الخدمة أو تنفيذ التعليمات البرمجية عن بُعد.
تعتقد منصة الأمان أن بساطة نقاط الضعف في Rab13s تزيد من إمكانية الهجوم.
بعد إجراء مزيد من التحقيق ، وجد باحثو Halborn ثغرة أمنية ثانية في خدمات RPC التي مكنت المهاجم من تعطل العقدة عبر طلبات RPC. لكن الاستغلال الناجح يتطلب أوراق اعتماد صالحة. هذا يقلل من احتمال تعرض الشبكة بالكامل للخطر لأن بعض العقد تنفذ أمر الإيقاف.
من ناحية أخرى ، تسمح الثغرة الثالثة للكيانات الخبيثة بتنفيذ التعليمات البرمجية في سياق المستخدم الذي يقوم بتشغيل العقدة من خلال الواجهة العامة (RPC). احتمالية حدوث هذا الاستغلال منخفضة أيضًا نظرًا لأن حتى هذا يتطلب اعتمادًا صالحًا لتنفيذ هجوم ناجح.
مآثر الحشرات
وفي الوقت نفسه ، تم تطوير مجموعة أدوات استغلال لـ Rab13s تتضمن إثباتًا للمفهوم مع معلمات قابلة للتكوين لإثبات الهجمات على شبكات أخرى مختلفة.
أكد Halborn مشاركة جميع التفاصيل الفنية اللازمة مع أصحاب المصلحة المحددين لمساعدتهم على معالجة الأخطاء ، بالإضافة إلى إصدار التصحيحات ذات الصلة للمجتمع وعمال المناجم.
Binance Free $ 100 (حصري): استخدم هذا الرابط للتسجيل والحصول على 100 دولار مجانًا و 10٪ خصم على Binance Futures الشهر الأول (مصطلحات).
عرض PrimeXBT الخاص: استخدم هذا الرابط للتسجيل وإدخال رمز POTATO50 لتلقي ما يصل إلى 7,000 دولار على ودائعك.
المصدر: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/