Петер Силадьи 29 марта 2022 года выявил ошибку в пакете PeerList криптовалюты Avalanche, которой легко мог воспользоваться злоумышленник.
Разработчик Ethereum Петер Силадьи опубликовал отчет об уязвимости, в котором подробно описал, как найденная им ошибка в Avalanche могла привести к краху всей сети.
29 марта 2022 года Петер Силадьи обнаружил ошибку в пакете PeerList в Avalanche, которой легко мог воспользоваться злоумышленник. Он связался с командой разработчиков Avalanche, и они быстро исправили уязвимость.
Публикую свой отчет об уязвимости Avalanche от 29 марта 2022 года, которая могла быть использована для бесплатного вывода из строя всей сети.
Проблема была устранена давно, и с последним хард-форком Avalanche все узлы работают с исправленным программным обеспечением.
Njoy 🙂https://t.co/nokedKF7IZ
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) Сентябрь 8, 2022
Уязвимость PeerList
Сеть Avalanche взаимодействует с помощью пакета PeerList, который может быть отправлен только валидаторами узлов. Силадьи объяснил, что уязвимость была такова, что злоумышленнику достаточно было завладеть 2000 токенов AVAX, необходимых для того, чтобы стать узлом-валидатором, и разослать вредоносный пакет PeerList узлам сети.
Силадьи пояснил:
«Поскольку все узлы в сети подключаются ко всем валидаторам, это практически мгновенная смерть для всей сети»
Он добавил:
«Цена, конечно, 2000AVAX, но я считаю это приемлемым, так как хороший шорт принесет хорошую прибыль, а сеть все равно восстановится через несколько часов, так что долгосрочная стоимость не будет потеряна из-за вредоносного валидатора. «
По состоянию на март 2022 года рыночная капитализация сети Avalanche оценивалась более чем в 24 миллиарда долларов. Крах экосистемы был бы фатальным, если бы злоумышленник воспользовался уязвимостью.
Битва Аваланча с ошибками
Во время запуска протокола DeFi Pangolin на Avalanche в феврале 2021 года сеть пострадала от ошибки «cross-chain finality», которая заставила ее перейти в «режим самовосстановления».
Avalanche столкнулась с высокой нагрузкой на сеть, из-за чего некоторые валидаторы приняли несколько недействительных монетных транзакций. В результате сеть была вынуждена остановить все транзакции на несколько часов. Разработчики быстро исправили проблему и завершили все ожидающие транзакции.