Halborn:狗狗幣、萊特幣等280 多個區塊鏈網絡存在 0day 漏洞,超 250 億美元數字資產面臨風險
ChainCatcher 消息,區塊鏈安全公司 Halborn 發文表示,2022 年 3 月 Halborn 受聘評估 Dogecoin 開源代碼庫是否存在任何可能影響區塊鏈安全的漏洞,在此評估期間 Halborn 發現了幾個嚴重且可利用的漏洞,並已由 Dogecoin 團隊修復。然而經過更廣泛的審查後,Halborn 確定同樣的漏洞影響了 280 多個其他網絡,包括 Litecoin 和 Zcash,使超過 250 億美元的數字資產面臨風險,Halborn 將此漏洞代號定為"Rab13s"。Rab13s 漏洞是在受影響網絡的 P2P 消息傳遞機制中發現的,利用此漏洞,攻擊者可以向各個節點發送精心製作的惡意共識消息,導致每個節點關閉並最終使網絡面臨 51% 攻擊和其他嚴重問題等風險。RPC 服務中的第二個漏洞允許攻擊者通過 RPC 請求使節點崩潰。然而成功的利用需要有效的憑據,這降低了整個網絡面臨風險的可能性,因為一些節點執行了停止命令。第三個漏洞允許攻擊者在用戶通過 RPC 運行節點的上下文中執行代碼。但是這種利用的可能性較低,因為它需要有效的憑據才能執行攻擊。Halborn 表示其已為 Rab13s 開發了一個漏洞利用工具包,其中包括帶有可配置參數的概念證明,以演示對不同網絡的攻擊。所有必要的技術信息都已與確定的利益相關者共享,以幫助他們修復錯誤,並為社區和礦工發布必要的補丁。對於使用基於 UTXO 的節點(例如狗狗幣)的項目,建議將所有節點升級到最新版本(1.14.6)。由於問題的嚴重性,Halborn 目前不會發布更多技術或漏洞利用細節。(來源鏈接)