Halborn, společnost zabývající se kybernetickou bezpečností, objevila chybu vystavující více než 280 blockchainů tzv. 51% útoku. Podíváme se na tuto chybu, proti které již mnoho hráčů podniklo kroky.
Zranitelnost vystavuje mnoho blockchainů 51% útoku
V rámci bezpečnostního auditu, který společnost Halborn původně provedla v březnu 2022 na otevřeném zdrojovém kódu Dogecoinu (DOGE), objevila několik zranitelností společných pro jiné sítě. A to z dobrého důvodu, neboť po rozsáhlém průzkumu bylo zjištěno, že je jimi postiženo více než 280 blockchainů a že u jedné z nejkritičtějších z těchto chyb by její zneužití teoreticky mohlo usnadnit 51% útok.
Takový útok by v případě úspěchu umožnil ovládnutí cílové sítě. Chyba nazvaná RAB13 by umožnila odesílání škodlivých zpráv uzlům v síti a jejich zastavení. Útok je pak usnadněn tím, že by bylo snazší ovládnout 51 % sítě, jak vysvětlil Halborn ve vlákně na Twitteru:
Za druhé, útočníci mohou spouštět kód prostřednictvím veřejného rozhraní (RPC) jako běžný uživatel uzlu. Vzhledem k tomu, že k provedení útoku je vyžadováno platné pověření, je pravděpodobnost tohoto zneužití nižší.
– Halborn (@HalbornSecurity) 13. března 2023
Aktualizace k řešení problému
Po tomto zjištění se Halbornovy týmy pokusily kontaktovat různé subjekty, které stojí za jednotlivými dotčenými blockchainy. Celkem bylo za „ohroženou“ považováno 25 miliard dolarů kapitalizace, a to včetně sítí jako Litecoin (LTC) a Zcash (ZEC). Poslední dvě jmenované již oznámily, že přijaly opatření.
Tento problém se týká pouze blockchainů s konsensem využívajícím model proof-of-work (PoW). Konkrétně Halborn uvádí, že se to týká „uzlů založených na UTXO“ a že by měla být provedena nejnovější aktualizace softwaru, aby se mezery uzavřely.
Vzhledem k tomu, že nikdy nebyly objeveny ani zneužity, jsou všechny diskutované zranitelnosti označovány jako chyby „nulového dne“:
“ Následně byly varianty těchto nulových dnů objeveny také v podobných blockchainových sítích, včetně Litecoinu a Zcash. […] Na zranitelných sítích by úspěšné zneužití příslušné zranitelnosti mohlo vést k odepření služby (DDoS) nebo vzdálenému spuštění kódu.“
V důsledku těchto zjištění nebyly hlášeny žádné závažné následky. Přesto vyzýváme všechny, kteří se podílejí na této společné kódové základně, aby provedli potřebné aktualizace a v případě potřeby kontaktovali týmy společnosti Halborn.
