เทคโนโลยี

พบข้อบกพร่องร้ายแรงที่ส่งผลกระทบต่อ Litecoin, ZCash, Dogecoin และเครือข่ายอื่น ๆ: การวิจัย

03/15/2023
ข่าว Bitcoin Ethereum

Halborn บริษัทรักษาความปลอดภัยด้านบล็อคเชนได้ตรวจพบช่องโหว่ที่สำคัญและใช้ประโยชน์ได้หลายอย่างซึ่งส่งผลกระทบต่อเครือข่ายมากกว่า 280 แห่ง รวมถึง Litecoin (LTC) และ Zcash (ZEC) ชื่อรหัสว่า “Rab13s” ช่องโหว่นี้ทำให้สินทรัพย์ดิจิทัลมูลค่ากว่า 25 หมื่นล้านดอลลาร์ตกอยู่ในความเสี่ยง

สิ่งนี้ถูกตรวจพบครั้งแรกในเครือข่าย Dogecoin เมื่อปีที่แล้ว ซึ่งหลังจากนั้นทีมงานที่อยู่เบื้องหลัง memecoin ชั้นนำก็แก้ไขได้

51% การโจมตีและปัญหาอื่นๆ

ตามบล็อกโพสต์อย่างเป็นทางการ นักวิจัยของ Holborn ได้ค้นพบช่องโหว่ที่สำคัญที่สุดที่เกี่ยวข้องกับการสื่อสารแบบ peer-to-peer (p2p) ซึ่งหากถูกโจมตี สามารถช่วยให้ผู้โจมตีสร้างข้อความที่เป็นเอกฉันท์และส่งไปยังโหนดแต่ละโหนดและทำให้ออฟไลน์ได้ ในที่สุด ภัยคุกคามดังกล่าวอาจทำให้เครือข่ายมีความเสี่ยง เช่น การโจมตี 51% และปัญหาร้ายแรงอื่นๆ

ภาพ

“ผู้โจมตีสามารถรวบรวมข้อมูลเพียร์เครือข่ายโดยใช้ข้อความ getaddr และโจมตีโหนดที่ไม่ได้แพตช์”

บริษัทได้ระบุวัน Zero-day อื่นที่เกี่ยวข้องกับ Dogecoin โดยเฉพาะ รวมถึง RPC (Remote Procedure Call) ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่ส่งผลกระทบต่อนักขุดแต่ละคน

นอกจากนี้ ยังมีการค้นพบรูปแบบต่างๆ ของ Zero-days ในเครือข่ายบล็อกเชนที่คล้ายกัน เช่น Litecoin และ Zcash แม้ว่าจะไม่ใช่ข้อบกพร่องทั้งหมดที่สามารถใช้ประโยชน์ได้ตามธรรมชาติเนื่องจากความแตกต่างของโค้ดเบสระหว่างเครือข่าย แต่อย่างน้อยหนึ่งจุดบกพร่องอาจถูกโจมตีโดยผู้โจมตีในแต่ละเครือข่าย

ในกรณีของเครือข่ายที่มีช่องโหว่ Halborn กล่าวว่าการใช้ประโยชน์จากช่องโหว่ที่เกี่ยวข้องได้สำเร็จอาจนำไปสู่การปฏิเสธบริการหรือการเรียกใช้โค้ดจากระยะไกล

แพลตฟอร์มความปลอดภัยเชื่อว่าความเรียบง่ายของช่องโหว่ Rab13s เหล่านี้จะเพิ่มความเป็นไปได้ในการโจมตี

จากการตรวจสอบเพิ่มเติม นักวิจัยของ Halborn พบช่องโหว่ที่สองในบริการ RPC ที่ทำให้ผู้โจมตีสามารถล่มโหนดผ่านคำขอ RPC แต่การแสวงประโยชน์ที่ประสบความสำเร็จจะต้องใช้ข้อมูลประจำตัวที่ถูกต้อง สิ่งนี้ช่วยลดความเป็นไปได้ที่เครือข่ายทั้งหมดจะตกอยู่ในความเสี่ยง เนื่องจากบางโหนดใช้คำสั่งหยุด

ในทางกลับกัน ช่องโหว่ที่สามช่วยให้เอนทิตีที่เป็นอันตรายรันโค้ดในบริบทของผู้ใช้ที่รันโหนดผ่านอินเทอร์เฟซสาธารณะ (RPC) ความเป็นไปได้ของการใช้ประโยชน์นี้ก็ต่ำเช่นกัน เนื่องจากต้องใช้ข้อมูลประจำตัวที่ถูกต้องในการโจมตีให้สำเร็จ

การใช้ประโยชน์จากข้อผิดพลาด

ในขณะเดียวกัน ชุดช่องโหว่สำหรับ Rab13s ได้รับการพัฒนาขึ้นซึ่งรวมถึงการพิสูจน์แนวคิดพร้อมพารามิเตอร์ที่กำหนดค่าได้เพื่อสาธิตการโจมตีบนเครือข่ายอื่นๆ ที่หลากหลาย

Halborn ได้ยืนยันการแบ่งปันรายละเอียดทางเทคนิคที่จำเป็นทั้งหมดกับผู้มีส่วนได้ส่วนเสียที่ระบุเพื่อช่วยพวกเขาในการแก้ไขจุดบกพร่อง ตลอดจนปล่อยแพตช์ที่เกี่ยวข้องสำหรับชุมชนและนักขุด

 

ข้อเสนอพิเศษ (ผู้สนับสนุน)

Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้เพื่อลงทะเบียนและรับ $100 ฟรีและค่าธรรมเนียม 10% สำหรับ Binance Futures ในเดือนแรก (เงื่อนไข).

ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับเงินสูงสุด $7,000 จากเงินฝากของคุณ

ที่มา: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/