Péter Szilágyi 29 marca 2022 roku zidentyfikował błąd w pakiecie PeerList Avalanche, który zostałby łatwo wykorzystany przez złośliwego aktora.
Ethereum developer Péter Szilágyi opublikował raport o podatnościach, w którym szczegółowo opisał, jak znaleziony przez niego błąd w Avalanche mógłby doprowadzić do awarii całej sieci.
Péter Szilágyi 29 marca 2022 roku zidentyfikował błąd w pakiecie PeerList w Avalanche, który mógłby być łatwo wykorzystany przez złośliwego aktora. Skontaktował się z zespołem deweloperów Avalanche i ci natychmiast załatali lukę.
Publikacja mojego Avalanche raportu o luce z 29 marca, 2022 roku, która mogła zostać wykorzystana do przejęcia całej sieci bez żadnych kosztów.
Problem został naprawiony już dawno temu, a dzięki najnowszemu hard forkowi Avalanche, wszystkie węzły działają z załatanym oprogramowaniem.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) 8 września 2022
Szkoda na PeerList
Sieć Avalanche komunikuje się za pomocą pakietu PeerList, który może być wysyłany tylko przez walidatory węzłów. Szilágyi wyjaśnił, że luka polegała na tym, że wystarczyło zebrać 2000 tokenów AVAX wymaganych do bycia węzłem walidacyjnym i wysłać złośliwy pakiet PeerList do węzłów w sieci.
Szilágyi wyjaśnił:
„Ponieważ wszystkie węzły w sieci łączą się ze wszystkimi walidatorami, jest to całkiem sporo insta-death dla całej sieci. „
He added:
„Cena to oczywiście 2000AVAX, ale uważam, że jest to do przyjęcia, ponieważ ładny short przyniósłby słodki zysk, a sieć i tak odbije się po kilku godzinach, więc nie ma długoterminowej wartości utraconej w złośliwym walidatorze. „
As of March 2022, the market capitalization of the Avalanche network was estimated at over $24 billion. Krach ekosystemu byłby śmiertelny, gdyby złośliwy napastnik porwał podatność.
Bitwa Valanche z błędami
Podczas uruchamiania protokołu DeFi Pangolin na Avalanche w lutym 2021 roku, sieć doznała błędu „cross-chain finality”, który zmusił ją do wejścia w „tryb samoleczenia”.
Avalanche doświadczył dużego obciążenia sieci, które spowodowało, że niektóre walidatory zaakceptowały kilka nieważnych transakcji menniczych. W konsekwencji sieć musiała wstrzymać wszystkie transakcje na wiele godzin. Programiści szybko załatali problem i zakończyli wszystkie oczekujące transakcje.
