Фірма безпеки блокчейнів dWallet Labs нещодавно оприлюднила вразливість, яка, як вони стверджують, може вразити криптовалюту вартістю до 1 мільярда доларів із такими активами, як Ether (ETH), Aptos (APT), BNB (BNB) і Sui (SUI), під загрозою.
У статті, надісланій Cointelegraph, dWallet Labs повідомила про потенційну вразливість у валідаторах, розміщених постачальником інфраструктури під назвою InfStones. За даними dWallet Labs, вони розпочали дослідження атаки на блокчейн-мережі та збору приватних ключів за допомогою атак Web2. Під час цього дослідження dWallet Labs заявили, що вони виявили вразливості в валідаторах InfStones. Вони написали:
«Ланцюжок уразливостей, які ми виявили та використали під час нашого дослідження, дозволив нам отримати повний контроль, запустити код і витягти приватні ключі сотень валідаторів у кількох основних мережах, що потенційно призвело до прямих збитків, еквівалентних понад мільярду доларів у таких криптовалютах, як ETH., BNB, SUI, APT та багато інших».
За даними dWallet Labs, зловмисник, який використовує вразливість, може отримати приватні ключі валідаторів у різних блокчейн-мережах. «Понад один мільярд доларів залучених активів було поставлено на всі ці валідатори, і такий зловмисник міг би отримати повний контроль над усіма ними», — додали вони.
За темою: експлойти, хаки та шахрайство вкрали майже 1 мільярд доларів у 2023 році: звіт
21 листопада InfStones відповів на запит Cointelegraph про коментарі, заперечуючи, що помилка може вплинути на активи на 1 мільярд доларів. Дарко Радунович, представник InfStones, сказав Cointelegraph, що потенційна вразливість може вплинути лише на невелику частину живих вузлів, які вони вже запустили.
За словами Радуновича, потенційну вразливість було виявлено в 237 випадках, включаючи 212 випадків, призначених для тестування, і 25 випадків як нещодавно запущені вузли у виробничому середовищі. «Екземпляри, виявлені у виробництві, складають менше 0,1% від живих вузлів, які ми запустили на сьогоднішній день», — сказав Радунович у заяві. Компанія також опублікувала допис у блозі, в якому повідомляє, що вразливість усунуто.
Радунович також підкреслив, що у відповідь на вразливість вони провели внутрішні перевірки та замовили акредитовану охоронну фірму для перевірки їхніх систем і політики компанії. Компанія також запустила програму винагород за помилки, щоб заохотити будь-яку третю сторону працювати з ними безпосередньо над будь-якими помилками, які вони можуть виявити.