Péter Szilágyi a identifié, le 29 mars 2022, un bogue dans le paquet PeerList d’Avalanche qui aurait été facilement exploité par un acteur malveillant.
Le développeur d’ethereum Péter Szilágyi a publié un rapport de vulnérabilité détaillant comment un bug qu’il a trouvé dans Avalanche aurait fait tomber l’ensemble du réseau.
Le 29 mars 2022, Péter Szilágyi a identifié un bogue dans le paquet PeerList d’Avalanche qui aurait été facilement exploité par un acteur malveillant. Il a contacté l’équipe de développeurs d’Avalanche qui a rapidement corrigé la vulnérabilité.
Publication de mon rapport sur la vulnérabilité Avalanche du 29 mars 2022, qui aurait pu être utilisée pour mettre tout le réseau hors service sans frais.
Le problème a été corrigé il y a longtemps, et avec le dernier hard fork d’Avalanche, tous les nœuds utilisent le logiciel corrigé.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
The PeerList vulnerability
Le réseau Avalanche communique à l’aide d’un paquet PeerList qui ne peut être envoyé que par les validateurs de nœuds. Szilágyi a expliqué que la vulnérabilité était telle qu’il suffisait à un attaquant de miser 2000 jetons AVAX nécessaires pour être un noeud validateur et d’envoyer un paquet PeerList malveillant aux noeuds du réseau.
Szilágyi a expliqué:
« Puisque tous les nœuds du réseau se connectent à tous les validateurs, c’est pratiquement une mort instantanée pour l’ensemble du réseau. «
Il a ajouté:
« Le prix est bien sûr de 2000AVAX, mais je trouve cela acceptable puisqu’une bonne vente à découvert permettrait de réaliser un joli profit et que le réseau rebondirait de toute façon après quelques heures, donc aucune valeur à long terme n’est perdue dans le validateur malveillant. «
En mars 2022, la capitalisation boursière du réseau Avalanche était estimée à plus de 24 milliards de dollars. Le crash de l’écosystème aurait été fatal si un attaquant malveillant avait détourné la vulnérabilité.
La bataille d’Avalanche contre les bugs
Lors du lancement du protocole DeFi Pangolin sur Avalanche en février 2021, le réseau a été victime d’un bug de « finalité inter-chaînes » qui l’a forcé à entrer dans un « mode d’auto-réparation ».
Avalanche a connu une forte charge du réseau qui a amené certains validateurs à accepter certaines transactions de monnaies invalides. En conséquence, le réseau a dû interrompre toutes les transactions pendant des heures. Les développeurs ont rapidement corrigé le problème et ont effectué toutes les transactions en attente.
