Péter Szilágyi hat am 29. März 2022 einen Fehler im PeerList-Paket von Avalanche identifiziert, der von einem böswilligen Akteur leicht ausgenutzt werden konnte.
Ethereum-Entwickler Péter Szilágyi hat einen Schwachstellenbericht veröffentlicht, in dem er detailliert beschreibt, wie ein von ihm gefundener Fehler in Avalanche das gesamte Netzwerk hätte zum Absturz bringen können.
Péter Szilágyi entdeckte am 29. März 2022 einen Fehler im Avalanche-Paket PeerList, der von einem böswilligen Akteur leicht ausgenutzt werden konnte. Er wandte sich an das Entwicklerteam von Avalanche, das die Schwachstelle umgehend behoben hat.
Veröffentlichung meines AvalancheSchwachstellenberichts vom 29. März 2022, der dazu hätte genutzt werden können, das gesamte Netzwerk ohne Kosten auszuschalten.
Das Problem wurde schon vor langer Zeit behoben, und mit dem letzten Avalanche Hard Fork laufen alle Nodes mit der gepatchten Software.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
Die PeerList-Schwachstelle
Das Avalanche-Netzwerk kommuniziert über ein PeerList-Paket, das nur von Knotenvalidatoren gesendet werden kann. Szilágyi erklärte, dass die Schwachstelle so beschaffen ist, dass ein Angreifer lediglich 2000 AVAX-Tokens einsetzen muss, um ein Validator-Knoten zu sein, und ein bösartiges PeerList-Paket an Knoten im Netzwerk senden kann.
Szilágyi erklärte:
„Da alle Knoten im Netzwerk mit allen Validierern verbunden sind, ist dies sozusagen ein Instata-Tod für das gesamte Netzwerk. „
Er fügte hinzu:
„Der Preis ist natürlich 2000AVAX, aber ich finde das irgendwie akzeptabel, da ein netter Short einen süßen Gewinn einbringen würde und das Netzwerk nach ein paar Stunden sowieso wieder anspringt, so dass kein langfristiger Wert durch den bösartigen Validator verloren geht. „
Im März 2022 wurde die Marktkapitalisierung des Avalanche-Netzwerks auf über 24 Milliarden Dollar geschätzt. Der Zusammenbruch des Ökosystems wäre fatal gewesen, wenn ein böswilliger Angreifer die Sicherheitslücke ausgenutzt hätte.
Avalanche’s battle with bugs
Während der Einführung des DeFi-Protokolls Pangolin auf Avalanche im Februar 2021 wurde das Netzwerk von einem „Cross-Chain-Finalitäts“-Fehler betroffen, der es zwang, in einen „Selbstheilungsmodus“ zu wechseln.
Avalanche erlebte eine hohe Netzwerklast, die einige Validatoren dazu veranlasste, einige ungültige Mint-Transaktionen zu akzeptieren. Infolgedessen musste das Netzwerk alle Transaktionen für Stunden anhalten. Die Entwickler konnten das Problem schnell beheben und alle ausstehenden Transaktionen abschließen
