Péter Szilágyi il 29 marzo 2022 ha identificato un bug nel pacchetto PeerList di Avalanche che sarebbe stato facilmente sfruttato da un attore malintenzionato.
Lo sviluppatore di Ethereum Péter Szilágyi ha pubblicato un rapporto di vulnerabilità che illustra come un bug trovato in Avalanche avrebbe mandato in crash l’intera rete.
Il 29 marzo 2022 Péter Szilágyi ha identificato un bug nel pacchetto PeerList di Avalanche che sarebbe stato facilmente sfruttato da un malintenzionato. Ha contattato il team di sviluppatori di Avalanche, che ha prontamente patchato la vulnerabilità.
Pubblico il mio rapporto sulla vulnerabilità di Avalanche del 29 marzo 2022 che avrebbe potuto essere usata per distruggere l’intera rete senza alcun costo.
Il problema è stato risolto molto tempo fa e con l’ultima hard fork di Avalanche, tutti i nodi eseguono il software patchato.
Buon divertimento 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) 8 settembre 2022
La vulnerabilità di PeerList
La rete Avalanche comunica utilizzando un pacchetto PeerList che può essere inviato solo dai validatori dei nodi. Szilágyi ha spiegato che la vulnerabilità era tale che un utente malintenzionato doveva solo impadronirsi dei 2000 token AVAX necessari per essere un nodo validatore e inviare un pacchetto PeerList dannoso ai nodi della rete.
Szilágyi ha spiegato:
“Poiché tutti i nodi della rete si connettono a tutti i validatori, è praticamente una morte istantanea per l’intera rete “
Ha aggiunto:
“Il prezzo è ovviamente di 2000AVAX, ma lo ritengo accettabile in quanto un buon short porterebbe a un buon profitto e la rete rimbalzerebbe comunque dopo poche ore, quindi il valore a lungo termine non andrebbe perso nel validatore maligno. “
A marzo 2022, la capitalizzazione di mercato della rete Avalanche era stimata a oltre 24 miliardi di dollari. Il crollo dell’ecosistema sarebbe stato fatale se un malintenzionato avesse dirottato la vulnerabilità.
La battaglia di Valanga contro i bug
Durante il lancio del protocollo DeFi Pangolin su Avalanche nel febbraio 2021, la rete ha subito un bug di “cross-chain finality” che l’ha costretta a entrare in una “modalità di autoguarigione”.
Avalanche ha subito un forte carico di rete che ha portato alcuni validatori ad accettare transazioni di zecca non valide. Di conseguenza, la rete ha dovuto bloccare tutte le transazioni per ore. Gli sviluppatori hanno rapidamente risolto il problema e completato tutte le transazioni in sospeso.