Péter Szilágyi 29. března 2022 identifikoval chybu v balíčku PeerList systému Avalanche, kterou by mohl snadno zneužít záškodník.
Ethereum vývojář Péter Szilágyi zveřejnil zprávu o zranitelnosti, ve které podrobně popsal, jak by jím nalezená chyba v Avalanche způsobila zhroucení celé sítě.
Péter Szilágyi 29. března 2022 identifikoval chybu v balíčku PeerList v Avalanche, která by byla snadno zneužitelná záškodníkem. Obrátil se na vývojářský tým Avalanche a ten zranitelnost okamžitě opravil.
Zveřejňuji svou zprávu o zranitelnosti Avalanche z 29. března 2022, která mohla být zneužita k bezplatnému vyřazení celé sítě.
Problém byl opraven již dávno a s posledním hard forkem Avalanche běží na všech uzlech opravený software.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) 8. září 2022
Zranitelnost PeerList
Síť Avalanche komunikuje pomocí balíčku PeerList, který mohou odesílat pouze validátory uzlů. Szilágyi vysvětlil, že zranitelnost je taková, že útočníkovi stačí vsadit 2000 tokenů AVAX potřebných k tomu, aby se stal validátorem uzlu, a odeslat uzlům v síti škodlivý balíček PeerList.
Szilágyi vysvětlil:
„Vzhledem k tomu, že všechny uzly v síti se připojují ke všem validátorům, je to v podstatě okamžitá smrt pro celou síť. „
Dodal:
„Cena je samozřejmě 2000AVAX, ale to mi přijde docela přijatelné, protože pěkný short by přinesl sladký zisk a síť by se po několika hodinách stejně odrazila ode dna, takže by škodlivý validátor neztratil žádnou dlouhodobou hodnotu. „
K březnu 2022 byla tržní kapitalizace sítě Avalanche odhadována na více než 24 miliard dolarů. Krach ekosystému by byl fatální, pokud by se zranitelnosti zmocnil škodlivý útočník.
Boj systému Avalanche s chybami
Při spuštění protokolu DeFi Pangolin na síti Avalanche v únoru 2021 došlo k chybě „cross-chain finality“, která síť donutila přejít do „samoopravného režimu“.
Na Avalanche došlo k velkému zatížení sítě, které způsobilo, že některé validátory přijaly některé neplatné mincovní transakce. V důsledku toho musela síť na několik hodin zastavit všechny transakce. Vývojáři problém rychle opravili a dokončili všechny nevyřízené transakce.
