Péter Szilágyi em 29 de Março de 2022, identificou um bug no pacote PeerList da Avalanche, que teria sido facilmente explorado por um actor malicioso.
Ethereum developer Péter Szilágyi publicou um relatório de vulnerabilidade detalhando como um bug que encontrou na Avalanche teria colidido com toda a rede.
Péter Szilágyi, a 29 de Março de 2022, identificou um bug no pacote PeerList da Avalanche que teria sido facilmente explorado por um actor malicioso. Ele contactou a equipa de desenvolvedores da Avalanche e eles prontamente corrigiram a vulnerabilidade.
Publicando o meu Avalanche relatório de vulnerabilidade de 29 de Março de 2022 que poderia ter sido usado para derrubar toda a rede sem qualquer custo.
A questão foi resolvida há muito tempo, e com o último garfo duro Avalanche, todos os nós executam o software remendado.
Njoy 🙂https://t.co/nokedKF7IZ
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
W
A vulnerabilidade da Lista de Pares
A rede Avalanche comunica usando um pacote PeerList que só pode ser enviado por validadores de nós. Szilágyi explicou que a vulnerabilidade era tal que tudo o que um atacante precisava era de colocar 2000 fichas AVAX necessárias para ser um nó validador e enviar um pacote PeerList malicioso aos nós da rede.
Szilágyi explicou:
“Uma vez que todos os nós da rede se ligam a todos os validadores, é praticamente uma insta-morte para toda a rede”.
Adicionou:
“O preço é, claro, 2000AVAX, mas eu acho que aceitável, uma vez que um bom curto-circuito compensaria um bom lucro e a rede recuperaria de qualquer forma após algumas horas, pelo que não haveria perda de valor a longo prazo no validador malicioso”.
A partir de Março de 2022, a capitalização de mercado da rede Avalanche foi estimada em mais de 24 mil milhões de dólares. O colapso do ecossistema teria sido fatal se um atacante malicioso tivesse sequestrado a vulnerabilidade.
Batalha da avalanche contra os insectos
Durante o lançamento do protocolo DeFi Pangolin em Avalanche, em Fevereiro de 2021, a rede sofreu um bug de “finalidade de cadeia cruzada” que a forçou a entrar num “modo de auto-cura”.
A Avalanche experimentou uma pesada carga de rede que levou alguns validadores a aceitarem algumas transacções de menta inválidas. Consequentemente, a rede teve de interromper todas as transacções durante horas. Os programadores corrigiram rapidamente o problema e completaram todas as transacções pendentes.
