Péter Szilágyi identificeerde op 29 maart 2022 een bug in het PeerList pakket van Avalanche die gemakkelijk door een kwaadwillende actor uitgebuit zou kunnen worden.
Ethereum ontwikkelaar Péter Szilágyi heeft een kwetsbaarheidsrapport vrijgegeven waarin gedetailleerd wordt beschreven hoe een bug die hij vond in Avalanche het hele netwerk zou hebben laten crashen.
Péter Szilágyi ontdekte op 29 maart 2022 een bug in Avalanche’s PeerList pakket die gemakkelijk door een kwaadwillende actor uitgebuit zou kunnen worden. Hij nam contact op met het ontwikkelteam van Avalanche en zij repareerden de kwetsbaarheid onmiddellijk.
Publicatie van mijn Avalanche kwetsbaarheidsrapport van 29 maart 2022 dat gebruikt had kunnen worden om het hele netwerk gratis plat te leggen.
Het probleem werd lang geleden verholpen, en met de laatste Avalanche hard fork draaien alle nodes de gepatchte software.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
De PeerList kwetsbaarheid
Het Avalanche-netwerk communiceert via een PeerList-pakket dat alleen door knooppuntvalidators kan worden verzonden. Szilágyi legde uit dat de kwetsbaarheid zodanig was dat een aanvaller alleen maar 2000 AVAX-tokens nodig had om een validatorknooppunt te zijn en een kwaadaardig PeerList-pakket naar knooppunten op het netwerk te sturen.
Szilágyi legde uit:
“Aangezien alle knooppunten in het netwerk verbinding maken met alle validators, is het eigenlijk een insta-death voor het hele netwerk.”
Hij voegde eraan toe:
“De prijs is natuurlijk 2000AVAX, maar ik vind dat acceptabel omdat een mooie short een mooie winst zou opleveren en het netwerk na een paar uur toch weer zou opveren, dus geen waarde op lange termijn verloren in de kwaadaardige validator.”
In maart 2022 werd de marktkapitalisatie van het Avalanche-netwerk geschat op meer dan 24 miljard dollar. De crash van het ecosysteem zou fataal zijn geweest als een kwaadwillende aanvaller de kwetsbaarheid had gekaapt.
Avalanche’s strijd met bugs
Tijdens de lancering van het DeFi protocol Pangolin op Avalanche in februari 2021 kreeg het netwerk te maken met een “cross-chain finality” bug waardoor het in een “self-healing mode” moest gaan.
Avalanche ondervond een zware netwerkbelasting waardoor sommige validators enkele ongeldige munttransacties accepteerden. Daardoor moest het netwerk urenlang alle transacties stopzetten. De ontwikkelaars repareerden het probleem snel en voltooiden alle lopende transacties.
