Péter Szilágyi于2022年3月29日发现了Avalanche的PeerList包中的一个漏洞,该漏洞很容易被恶意行为者利用。
以太坊开发者Péter Szilágyi发布了一份漏洞报告,详细说明了他在Avalanche中发现的一个漏洞是如何让整个网络崩溃的。
2022年3月29日,Péter Szilágyi在Avalanche的PeerList包中发现了一个漏洞,该漏洞很容易被恶意行为者利用。他联系了Avalanche的开发团队,他们及时修补了这个漏洞。
发布我的Avalanche漏洞报告,从2022年3月29日开始,这个漏洞可能被用来不费吹灰之力地摧毁整个网络。
这个问题早已经被修复了,随着最新的雪崩硬分叉,所有节点都在运行打了补丁的软件。
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
The PeerList vulnerability
Avalanche网络使用PeerList包进行通信,该包只能由节点验证者发送。Szilágyi解释说,该漏洞是这样的:攻击者只需要用2000个AVAX令牌作为验证者节点,并向网络上的节点发送一个恶意的PeerList包。
Szilágyi解释说:
“由于网络中的所有节点都连接到所有验证者,这对整个网络来说几乎是一种即时死亡。”
他还说:
“价格当然是2000AVAX,但我认为这是可以接受的,因为一个漂亮的空头将获得甜蜜的利润,而且网络将在几个小时后反弹,所以在恶意验证器中没有长期的价值损失。”
截至2022年3月,Avalanche网络的市值估计超过240亿美元。如果恶意攻击者劫持了这个漏洞,那么这个生态系统的崩溃将是致命的。
Avalanche’s battle with bugs
2021年2月,DeFi协议Pangolin在Avalanche上推出期间,网络遭遇了一个 “跨链终结 “的错误,迫使它进入 “自我修复模式”。
Avalanche经历了沉重的网络负荷,导致一些验证者接受一些无效的薄荷交易。因此,网络不得不停止所有交易数小时。开发人员迅速修补了这个问题,并完成了所有待定交易。