Péter Szilágyi identificó el 29 de marzo de 2022 un fallo en el paquete PeerList de Avalanche que habría sido fácilmente aprovechado por un actor malicioso.
El desarrollador de Ethereum Péter Szilágyi ha publicado un informe de vulnerabilidad en el que detalla cómo un fallo que encontró en Avalanche habría colapsado toda la red.
El 29 de marzo de 2022, Péter Szilágyi identificó un fallo en el paquete PeerList de Avalanche que habría sido fácilmente explotado por un actor malicioso. Se puso en contacto con el equipo de desarrolladores de Avalanche, que rápidamente parcheó la vulnerabilidad.
Publicación de mi informe de vulnerabilidad Avalanche del 29 de marzo de 2022 que podría haber sido utilizado para derribar toda la red sin coste alguno.
El problema se solucionó hace tiempo, y con el último hard fork de Avalanche, todos los nodos ejecutan el software parcheado.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
La vulnerabilidad de PeerList
La red Avalanche se comunica mediante un paquete PeerList que sólo pueden enviar los validadores de nodos. Szilágyi explicó que la vulnerabilidad era tal que todo lo que necesitaba un atacante era apostar 2000 tokens AVAX necesarios para ser un nodo validador y enviar un paquete PeerList malicioso a los nodos de la red.
Szilágyi explicó:
«Como todos los nodos de la red se conectan a todos los validadores, es prácticamente una muerte instantánea para toda la red».
Agregó:
«El precio es, por supuesto, de 2000AVAX, pero me parece aceptable, ya que un buen cortocircuito generaría un dulce beneficio y la red se recuperaría de todos modos después de unas horas, por lo que no se pierde valor a largo plazo en el validador malicioso. «
En marzo de 2022, la capitalización de mercado de la red Avalanche se estimaba en más de 24.000 millones de dólares. La caída del ecosistema habría sido fatal si un atacante malicioso hubiera secuestrado la vulnerabilidad.
La batalla de Avalanche contra los bugs
Durante el lanzamiento del protocolo DeFi Pangolin en Avalanche en febrero de 2021, la red sufrió un fallo de «finalidad de cadena cruzada» que la obligó a entrar en un «modo de autocuración.»
Avalanche experimentó una gran carga en la red que hizo que algunos validadores aceptaran algunas transacciones de monedas no válidas. En consecuencia, la red tuvo que detener todas las transacciones durante horas. Los desarrolladores parcharon rápidamente el problema y completaron todas las transacciones pendientes.
