Halborn, uma empresa de cibersegurança, descobriu uma falha que expõe mais de 280 cadeias de bloqueio a um chamado ataque de 51%. Damos uma vista de olhos a esta falha, contra a qual muitos jogadores já tomaram medidas.
Vulnerabilidade expõe muitas cadeias de bloqueio a 51% de ataque
Como parte de uma auditoria de segurança inicialmente realizada em Março de 2022 por Halborn sobre o código aberto do Dogecoin (DOGE), a empresa descobriu várias vulnerabilidades comuns a outras redes. E com boas razões, foi determinado após extensa investigação que mais de 280 cadeias de bloqueio foram afectadas, e que para uma das mais críticas destas falhas, a sua exploração poderia teoricamente facilitar um ataque de 51%.
Um tal ataque permitiria, se bem sucedido, que a rede visada fosse assumida. A falha, chamada RAB13, permitiria o envio de mensagens maliciosas para os nós de uma rede, pondo termo a essas mensagens. O ataque é então facilitado pelo facto de se tornar mais fácil controlar 51% da rede, como Halborn explicou num tópico do Twitter:
Em segundo lugar, os atacantes podem executar código através da interface pública (RPC) como um utilizador normal do nó. Uma vez que é necessária uma credencial válida para executar o ataque, a probabilidade desta exploração é menor.
– Halborn (@HalbornSecurity) 13 de Março de 2023
Uma actualização para resolver o problema
Após esta descoberta, as equipas da Halborn tentaram contactar as diferentes entidades por detrás de cada cadeia de bloqueio em questão. No total, 25 mil milhões de dólares em capitalização foram considerados “em risco”, e isto incluiu redes como Litecoin (LTC) e Zcash (ZEC). Estas duas últimas tendo já anunciado que tinham tomado medidas.
Esta questão apenas afecta as cadeias de bloqueio com consenso, utilizando um modelo de prova de trabalho (PoW). Especificamente, Halborn afirma que isto se aplica aos “nós baseados em UTXO”, e que a última actualização de software deve ser realizada para colmatar as lacunas.
Uma vez que nunca foram descobertas ou exploradas, todas as vulnerabilidades discutidas são referidas como falhas de “Dia Zero”:
Posteriormente, foram também descobertas variantes destes dias zero em redes semelhantes de cadeias de blocos, incluindo Litecoin e Zcash. […] Em redes vulneráveis, a exploração bem sucedida da vulnerabilidade relevante poderia resultar numa negação de serviço (DDoS) ou na execução de código remoto. “
Não foram relatadas consequências graves como resultado destas descobertas. No entanto, todos os envolvidos nesta base de código comum são encorajados a fazer as actualizações necessárias, e a contactar as equipas Halborn, se necessário.
