Péter Szilágyi на 29 март 2022 г. идентифицира грешка в пакета PeerList на Avalanche, която лесно би била използвана от злонамерен участник.
Разработчикът на платформата Ethereum Péter Szilágyi публикува доклад за уязвимост, в който подробно описва как откритият от него бъг в Avalanche би сринал цялата мрежа.
На 29 март 2022 г. Péter Szilágyi идентифицира бъг в пакета PeerList на Avalanche, който лесно би бил използван от злонамерен участник. Той се свързва с екипа от разработчици на Avalanche и те незабавно поправят уязвимостта.
Публикуване на моя Avalanche доклад за уязвимост от 29 март 2022 г., която можеше да бъде използвана, за да се срине цялата мрежа без никакви разходи.
Проблемът беше отстранен още преди време, а с последния хард форк на Avalanche всички възли работят с поправения софтуер.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
Уязвимостта на PeerList
Мрежата Avalanche комуникира чрез пакет PeerList, който може да бъде изпратен само от валидатори на възли. Szilágyi обясни, че уязвимостта е такава, че всичко, което е необходимо на нападателя, е да заложи 2000 AVAX токена, необходими за валидиращ възел, и да изпрати злонамерен PeerList пакет до възлите в мрежата.
Szilágyi обясни:
„Тъй като всички възли в мрежата се свързват с всички валидатори, това до голяма степен е незабавна смърт за цялата мрежа. „
Той добави:
„Цената, разбира се, е 2000AVAX, но аз намирам това за приемливо, тъй като един хубав шорт ще донесе сладка печалба, а мрежата така или иначе ще се възстанови след няколко часа, така че няма да се загуби дългосрочна стойност в злонамерения валидатор. „
Към март 2022 г. пазарната капитализация на мрежата Avalanche се оценява на над 24 млрд. долара. Сривът на екосистемата щеше да бъде фатален, ако злонамерен нападател беше завладял уязвимостта.
Битката на Avalanche с бъговете
По време на стартирането на DeFi протокола Pangolin в Avalanche през февруари 2021 г. мрежата пострада от бъг „cross-chain finality“, който я принуди да влезе в „режим на самолечение“.
Avalanche изпита голямо натоварване на мрежата, което накара някои валидатори да приемат някои невалидни трансакции с ментета. Вследствие на това се наложи мрежата да спре всички трансакции за часове. Разработчиците бързо отстраниха проблема и завършиха всички висящи трансакции.
