据网络安全公司 Halborn 称,估计有 280 个或更多区块链网络面临“零日”漏洞利用的风险,这些漏洞可能会使至少价值 25 亿美元的加密货币面临风险。
在13月XNUMX日 新闻, Halborn 警告了它称为“Rab13s”的漏洞——并补充说它已经与一些区块链合作,例如 Dogecoin、Litecoin 和 Zcash,并为此制定了修复程序。
哈尔伯恩发现大量 #零日 影响狗狗币和 280 多个网络,包括莱特币和 Zcash,使超过 25 亿美元的数字资产面临风险!
...
— 哈尔本 (@HalbornSecurity) 2023 年 3 月 13 日
Halborn 于 2022 年 XNUMX 月与 Dogecoin 签约,对其代码库进行安全审查,并发现了“几个关键且可利用的漏洞”。
它后来确定了那些 相同的漏洞 “影响了 280 多个其他网络”,使价值数十亿美元的加密货币面临风险。
Halborn 概述了三个漏洞,其中“最关键”的漏洞允许攻击者“向各个节点发送精心设计的恶意共识消息,导致每个节点关闭”。
3/ 发现的最严重的漏洞与点对点 (p2p) 通信有关,攻击者可以在其中制作共识消息并将其发送到各个节点,使它们脱机。
哈尔本研究人员,由 @safe_buffer, 代号为这个漏洞 #Rab13s.
— 哈尔本 (@HalbornSecurity) 2023 年 3 月 13 日
随着时间的推移,它添加了这些消息可能会将区块链暴露给 51%攻击 攻击者控制大部分网络的地方 挖掘哈希率 或质押代币以制作新版本的区块链或将其下线。
它发现的其他零日漏洞将使潜在的攻击者崩溃 区块链节点 通过发送远程过程调用 (RPC) 请求 — 一种允许程序进行通信并向另一个程序请求服务的协议。
7/ 其次,攻击者可以作为普通节点用户通过公共接口(RPC)执行代码。 由于执行攻击需要有效的凭据,因此这种利用的可能性较低。
— 哈尔本 (@HalbornSecurity) 2023 年 3 月 13 日
它补充说,与 RPC 相关的攻击的可能性较低,因为它需要有效的凭据才能进行攻击。
“由于网络之间的代码库差异,并不是所有的漏洞都可以在所有网络上被利用,但至少其中一个可能在每个网络上都可以被利用,”Halborn 警告说。
相关新闻: Jump Crypto 和 Oasis.app 以 225 亿美元“反击”虫洞黑客
该公司目前表示,由于其严重性,它不会发布有关漏洞利用的更多技术细节,并补充说,它做出了“真诚的努力”来联系所有受影响的各方,以披露潜在的漏洞利用并为漏洞提供补救措施。
Dogecoin、Zcash 和 Litecoin 已经为发现的漏洞实施了补丁,但根据 Halborn 的说法,仍有数百个漏洞可能暴露。
资料来源:https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm