サイバーセキュリティ企業である
Halbornは、280以上のブロックチェーンがいわゆる51%攻撃にさらされる欠陥を発見しました。すでに多くのプレイヤーが対策に乗り出しているこの欠陥に迫ります
。
脆弱性により多くのブロックチェーンが51%の攻撃にさらされる
。
2022年3月にハルボーンがDogecoinのオープンソースコード(DOGE)に対して最初に実施したセキュリティ監査の一環として、同社は他のネットワークに共通するいくつかの脆弱性を発見しました。280以上のブロックチェーンが影響を受け、これらの欠陥のうち最も重大なものの1つについては、その悪用により理論上51%の攻撃を促進できると、広範な調査の結果判断されたからだ。
このような攻撃は、成功すれば、ターゲットとなるネットワークを乗っ取ることができるようになります。RAB13と呼ばれるこの欠陥は、ネットワーク内のノードに悪意のあるメッセージを送信し、ノードを停止させることができる。ハルボーンがTwitterのスレッドで説明したように、ネットワークの51%をコントロールすることが容易になるため、攻撃が容易になるのです:
。
第二に、攻撃者は通常のノードユーザーとしてパブリックインターフェース(RPC)を通じてコードを実行することができます。攻撃を実行するには有効なクレデンシャルが必要なため、この悪用の可能性は低くなります
– Halborn (@HalbornSecurity) March 13, 2023
」。
問題に対処するためのアップデート
。
この発見後、ハルボーンのチームは、関係する各ブロックチェーンの背後にあるさまざまな事業体に連絡を取ろうとしました。合計で250億ドルの資本が「危険」と見なされ、これにはライトコイン(LTC)やZcash(ZEC)といったネットワークが含まれていた。後者2社はすでに対策を講じたと発表しています。
この問題は、プルーフ・オブ・ワーク(PoW)モデルによるコンセンサスを持つブロックチェーンにのみ影響する。具体的には、ハルボーンは「UTXOベースのノード」に適用されるとしており、抜け穴を塞ぐために最新のソフトウェア・アップデートを実行する必要があると述べています。
発見されたことも悪用されたこともないため、今回取り上げた脆弱性はすべて「ゼロデイ」の欠陥と呼ばれている:
。
その後、LitecoinやZcashを含む類似のブロックチェーンネットワークでも、これらのゼロデイが発見されました。[…]脆弱なネットワークでは、該当する脆弱性の悪用に成功すると、サービス拒否(DDoS)やリモートコードの実行につながる可能性があります」
。
今回の発見により、深刻な結果が報告されたわけではありません。しかしながら、この共通コードベースに関わるすべての人は、必要なアップデートを行い、必要に応じてHalbornチームに連絡することが推奨されます
。