據網絡安全公司 Halborn 稱,估計有 280 個或更多區塊鍊網絡面臨“零日”漏洞利用的風險,這些漏洞可能會使至少價值 25 億美元的加密貨幣面臨風險。
在13月XNUMX日 博客, Halborn 警告了它稱為“Rab13s”的漏洞——並補充說它已經與一些區塊鏈合作,例如 Dogecoin、Litecoin 和 Zcash,並為此制定了修復程序。
哈爾伯恩發現大量 #零日 影響狗狗幣和 280 多個網絡,包括萊特幣和 Zcash,使超過 25 億美元的數字資產面臨風險!
...
— 哈爾本 (@HalbornSecurity) 2023 年 3 月 13 日
Halborn 於 2022 年 XNUMX 月與 Dogecoin 簽約,對其代碼庫進行安全審查,並發現了“幾個關鍵且可利用的漏洞”。
它後來確定了那些 相同的漏洞 “影響了 280 多個其他網絡”,使價值數十億美元的加密貨幣面臨風險。
Halborn 概述了三個漏洞,其中“最關鍵”的漏洞允許攻擊者“向各個節點發送精心設計的惡意共識消息,導致每個節點關閉”。
3/ 發現的最嚴重的漏洞與點對點 (p2p) 通信有關,攻擊者可以在其中製作共識消息並將其發送到各個節點,使它們脫機。
哈爾本研究人員,由 @safe_buffer, 代號為這個漏洞 #Rab13s.
— 哈爾本 (@HalbornSecurity) 2023 年 3 月 13 日
隨著時間的推移,它添加了這些消息可能會將區塊鏈暴露給 51%攻擊 攻擊者控制大部分網絡的地方 挖掘哈希率 或質押代幣以製作新版本的區塊鍊或將其下線。
它發現的其他零日漏洞將使潛在的攻擊者崩潰 區塊鏈節點 通過發送遠程過程調用 (RPC) 請求 — 一種允許程序進行通信並向另一個程序請求服務的協議。
7/ 其次,攻擊者可以作為普通節點用戶通過公共接口(RPC)執行代碼。 由於執行攻擊需要有效的憑據,因此這種利用的可能性較低。
— 哈爾本 (@HalbornSecurity) 2023 年 3 月 13 日
它補充說,與 RPC 相關的攻擊的可能性較低,因為它需要有效的憑據才能進行攻擊。
“由於網絡之間的代碼庫差異,並不是所有的漏洞都可以在所有網絡上被利用,但至少其中一個可能在每個網絡上都可以被利用,”Halborn 警告說。
相關新聞: Jump Crypto 和 Oasis.app 以 225 億美元“反擊”蟲洞黑客
該公司目前表示,由於其嚴重性,它不會發布有關漏洞利用的更多技術細節,並補充說,它做出了“真誠的努力”來聯繫所有受影響的各方,以披露潛在的漏洞利用並為漏洞提供補救措施。
Dogecoin、Zcash 和 Litecoin 已經為發現的漏洞實施了補丁,但根據 Halborn 的說法,仍有數百個漏洞可能暴露。
資料來源:https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm