Халборн, компания за киберсигурност, е открила недостатък, който излага повече от 280 блокчейна на т.нар. 51% атака. Разглеждаме този недостатък, срещу който много играчи вече са предприели действия.
Уязвимостта излага много блокчейн вериги на 51% атака
В рамките на одит на сигурността, първоначално извършен през март 2022 г. от Halborn на отворения код на Dogecoin (DOGE), компанията откри няколко уязвимости, характерни за други мрежи. И с основание – след задълбочено проучване беше установено, че са засегнати повече от 280 блокчейна, а за един от най-критичните от тези недостатъци експлоатацията му теоретично може да улесни 51% атака.
Ако такава атака е успешна, тя би позволила превземането на целевата мрежа. Недостатъкът, наречен RAB13, би позволил изпращането на злонамерени съобщения до възлите в мрежата, което би довело до тяхното спиране. След това атаката се улеснява от факта, че би станало по-лесно да се контролират 51% от мрежата, както обясни Халборн в тема в Twitter:
На второ място, нападателите могат да изпълняват код чрез публичния интерфейс (RPC) като обикновен потребител на възел. Тъй като за извършването на атаката се изисква валидно удостоверение, вероятността за този експлойт е по-малка.
– Halborn (@HalbornSecurity) 13 март 2023 г.
Актуализация за решаване на проблема
След това откритие екипите на Халборн се опитаха да се свържат с различните структури, стоящи зад всяка засегната блокчейн верига. Като цяло капитализацията на стойност 25 млрд. долара се считаше за „изложена на риск“, като това включваше мрежи като Litecoin (LTC) и Zcash (ZEC). Последните две, които вече обявиха, че са предприели действия.
Този проблем засяга само блокови вериги с консенсус, използващи модела на доказателство за работа (proof-of-work, PoW). По-конкретно, Halborn заявява, че това се отнася за „възли, базирани на UTXO“, и че трябва да се извърши последната актуализация на софтуера, за да се затворят пропуските.
Тъй като никога не са били откривани или експлоатирани, всички обсъждани уязвимости се наричат „Zero Day“ flaws:
“ Впоследствие варианти на тези нулеви дни бяха открити и в подобни блокчейн мрежи, включително Litecoin и Zcash. […] В уязвимите мрежи успешното използване на съответната уязвимост може да доведе до отказ на услуга (DDoS) или до отдалечено изпълнение на код. „
В резултат на тези констатации не са докладвани сериозни последствия. Въпреки това всички, които участват в тази обща база от кодове, се насърчават да направят необходимите актуализации и да се свържат с екипите на Halborn, ако е необходимо.