شركة الأمن Halborn تكتشف ثغرات يوم الصفر التي تؤثر على Dogecoin و Litecoin و Zcash وأكثر من 280 شبكة

أصدرت Halborn ، وهي شركة أمنية تعمل بنظام blockchain ، وثيقة تفيد بأنه في مارس 2022 ، تم تعيين Halborn لتقييم ما إذا كانت هناك أي ثغرات أمنية في قاعدة كود Dogecoin مفتوحة المصدر والتي قد تؤثر على أمان blockchain. تم إصلاحه بواسطة فريق Dogecoin. ومع ذلك ، بعد مراجعة أوسع ، حدد هالبورن أن نفس الثغرة الأمنية ، التي أطلق عليها Halborn الاسم الرمزي Rab13s ، أثرت على أكثر من 280 شبكة أخرى ، بما في ذلك Litecoin و Zcash ، مما يعرض أكثر من 25 مليار دولار من الأصول الرقمية للخطر. قد تسمح ثغرة Rab13s ، المكتشفة في آلية المراسلة P2P للشبكة المتأثرة ، للمهاجم بإرسال رسائل إجماع ضارة إلى العقد الفردية ، مما يتسبب في إغلاق كل عقدة وتعريض الشبكة في النهاية إلى هجمات 51٪ وغيرها من التهديدات الخطيرة. ومخاطر أخرى. قد تسمح ثغرة ثانية في خدمة RPC للمهاجم بتعطيل عقدة عبر طلبات RPC. ومع ذلك ، يتطلب الاستغلال الناجح بيانات اعتماد صالحة ، مما يقلل من احتمالية تعرض الشبكة بأكملها للخطر حيث تقوم بعض العقد بتنفيذ أمر الإيقاف. تسمح الثغرة الثالثة للمهاجم بتنفيذ التعليمات البرمجية في سياق مستخدم يقوم بتشغيل عقدة عبر RPC. لكن احتمال حدوث هذا الاستغلال أقل لأنه يتطلب بيانات اعتماد صالحة لتنفيذ الهجوم. قالت Halborn إنها طورت مجموعة أدوات استغلال لـ Rab13s تتضمن إثباتًا للمفهوم مع معلمات قابلة للتكوين لإثبات الهجمات على الشبكات المختلفة. تمت مشاركة جميع المعلومات الفنية اللازمة مع أصحاب المصلحة المحددين لمساعدتهم في إصلاح الأخطاء وإصدار التصحيحات اللازمة للمجتمع وعمال المناجم. بالنسبة للمشاريع التي تستخدم العقد المستندة إلى UTXO (مثل Dogecoin) ، يوصى بترقية جميع العقد إلى أحدث إصدار (1.14.6). نظرًا لخطورة المشكلة ، لن تصدر Halborn مزيدًا من التفاصيل الفنية أو تفاصيل استغلال في الوقت الحالي.