Более 280 блокчейн подвержены риску эксплойтов «нулевого дня», предупреждает охранная фирма

По оценкам фирмы по кибербезопасности Halborn, 280 или более сетей блокчейн подвержены риску эксплойтов «нулевого дня», которые могут поставить под угрозу криптовалюту на сумму не менее 25 миллиардов долларов.

В блоге от 13 марта Халборн предупредил об уязвимости, которую он назвал «Rab13s», добавив, что она уже работала с некоторыми блокчейнами, такими как Dogecoin, Litecoin и Zcash, чтобы установить для нее исправление.

В марте 2022 года Dogecoin наняла Халборна для проведения проверки безопасности своей кодовой базы и обнаружила «несколько критических и пригодных для эксплуатации уязвимостей».

Позже было установлено, что те же самые уязвимости «затронули более 280 других сетей», что поставило под угрозу криптовалюты на миллиарды долларов.

Халборн выделил три уязвимости, «наиболее критическая» из которых позволяет злоумышленнику «отправлять специально созданные злонамеренные согласованные сообщения на отдельные узлы, вызывая закрытие каждого из них».

Он добавил, что эти сообщения со временем могут подвергнуть блок-цепочку атаке 51%, когда злоумышленник контролирует большую часть хэш-скорости сети или токенов, находящихся в стейкинге, чтобы создать новую версию цепочки блоков или перевести ее в автономный режим.

Другие обнаруженные уязвимости нулевого дня позволяют потенциальным злоумышленникам разрушать узлы блокчейна, отправляя запросы удаленного вызова процедур (RPC) — протокол, позволяющий одной программе обмениваться данными и запрашивать услуги у другой.

Он добавил, что вероятность эксплойтов, связанных с RPC, была ниже, поскольку для проведения атаки требуются действительные учетные данные.

«Из-за различий в кодовой базе между сетями не все уязвимости можно использовать во всех сетях, но по крайней мере одна из них может быть использована в каждой сети», — предупредил Халборн.

Связанный: Криптовалюта Jump и Oasis.app «контрэксплуатируют» хакера червоточины за 225 миллионов долларов

Фирма заявила, что в настоящее время она не публикует дополнительные технические подробности эксплойтов из-за их серьезности, и добавила, что предприняла «добросовестные усилия», чтобы связаться со всеми пострадавшими сторонами, чтобы раскрыть потенциальные эксплойты и обеспечить устранение уязвимостей.

Dogecoin, Zcash и Litecoin уже внедрили исправления для обнаруженных уязвимостей, но, по словам Халборна, еще могут быть обнаружены сотни уязвимостей.