Halborn, firma zajmująca się cyberbezpieczeństwem, odkryła wadę narażającą ponad 280 blockchainów na tzw. atak 51%. Przyglądamy się tej wadzie, przeciwko której wielu graczy podjęło już działania.
Wyłom naraża wiele blockchainów na atak 51%
W ramach audytu bezpieczeństwa przeprowadzonego początkowo w marcu 2022 roku przez Halborn na otwartym kodzie źródłowym Dogecoina (DOGE), firma odkryła kilka podatności wspólnych dla innych sieci. I nie bez powodu – po szeroko zakrojonych badaniach ustalono, że dotyczyły one ponad 280 blockchainów, a w przypadku jednej z najbardziej krytycznych z tych wad, jej wykorzystanie mogłoby teoretycznie ułatwić atak w 51%.
Taki atak, w przypadku powodzenia, pozwoliłby na przejęcie kontroli nad docelową siecią. Dziura, nazwana RAB13, pozwalałaby na wysyłanie złośliwych wiadomości do węzłów w sieci, doprowadzając do ich zatrzymania. Atak jest wtedy ułatwiony, ponieważ łatwiejsze stałoby się kontrolowanie 51% sieci, co Halborn wyjaśnił w wątku na Twitterze:
Po drugie, atakujący mogą wykonać kod poprzez publiczny interfejs (RPC) jako zwykły użytkownik węzła. Ponieważ do przeprowadzenia ataku wymagane są ważne dane uwierzytelniające, prawdopodobieństwo tego exploitu jest mniejsze.
– Halborn (@HalbornSecurity) 13 marca 2023
An update to address the problem
Po tym odkryciu zespoły Halborna próbowały skontaktować się z różnymi podmiotami stojącymi za każdym z omawianych blockchainów. W sumie za „zagrożone” uznano 25 miliardów dolarów kapitalizacji, a dotyczyło to takich sieci jak Litecoin (LTC) i Zcash (ZEC). Te dwie ostatnie ogłosiły już, że podjęły działania.
Problem ten dotyczy tylko blockchainów z konsensusem wykorzystującym model proof-of-work (PoW). Konkretnie Halborn stwierdza, że dotyczy to „węzłów opartych na UTXO” i że należy przeprowadzić najnowszą aktualizację oprogramowania, aby zamknąć luki.
Ponieważ nie zostały one nigdy odkryte ani wykorzystane, wszystkie omawiane luki określane są jako „Zero Day” flaws:
” Następnie warianty tych zero-days zostały również odkryte w podobnych sieciach blockchain, w tym Litecoin i Zcash. […] W podatnych sieciach udane wykorzystanie odpowiedniej luki mogło skutkować odmową usługi (DDoS) lub zdalnym wykonaniem kodu. „
W wyniku tych ustaleń nie odnotowano żadnych poważnych konsekwencji. Niemniej jednak, wszyscy zaangażowani w tę wspólną bazę kodu są zachęcani do dokonywania niezbędnych aktualizacji, a także do kontaktowania się z zespołami Halborn w razie potrzeby.
