بیش از 280 بلاکچین در معرض ریسک Zero-day هستند

هالبورن در یک پست وبلاگی در 13 مارس نسبت به آسیب‌پذیری‌ای که «Rab13s» نامیده بود هشدار داد و اضافه کرد که پیش از این با برخی از بلاکچین‌ها مانند Dogecoin، Litecoin و Zcash کار کرده است تا راه‌حلی برای آن ایجاد کند.

هالبورن گفت که در مارس 2022 برای انجام یک بازبینی امنیتی از پایگاه کد Dogecoin قراردادی منعقد شد و «چندین آسیب‌پذیری حیاتی و قابل‌بهره‌برداری» را پیدا کرد. بعداً مشخص شد که همان آسیب‌پذیری‌ها «بیش از 280 شبکه دیگر را تحت تأثیر قرار می‌دهند» که میلیاردها دلار ارزهای دیجیتال را در معرض خطر قرار می‌دهند.

هالبورن سه آسیب‌پذیری را تشریح کرد که «بحرانی‌ترین» آن‌ها به مهاجم اجازه می‌دهد «پیام‌های اجماع مخرب ساخته‌شده را به نودهای جداگانه بفرستد و باعث خاموش شدن هر یک شود.»

این پیام‌ها به مرور زمان می‌توانند بلاکچین را در معرض حمله 51 درصدی قرار دهند که در آن مهاجم اکثر هش‌ریت ماینینگ شبکه یا توکن‌های استیک شده را برای ساختن نسخه جدیدی از بلاکچین یا آفلاین کردن آن کنترل می‌کند.

آسیب‌پذیری‌های Zero-day دیگری که پیدا شد به مهاجمان اجازه می‌دهد با ارسال درخواست‌های Remote Procedure Call (RPC) نودهای بلاکچین را خراب کنند – پروتکلی که به برنامه اجازه می‌دهد با دیگری ارتباط برقرار کند و خدمات درخواست کند.

این شرکت اضافه کرد که احتمال سوءاستفاده‌های مرتبط با RPC کمتر است؛ زیرا برای انجام این حمله به اعتبارنامه‌های معتبر نیاز دارد.

هالبورن هشدار داد: «به دلیل تفاوت‌های مبتنی بر کد بین شبکه‌ها، همه آسیب‌پذیری‌ها در همه شبکه‌ها قابل‌بهره‌برداری نیستند، اما حداقل یکی از آنها ممکن است در هر شبکه قابل‌بهره‌برداری باشد.»

این شرکت اعلام کرد که در حال حاضر جزئیات فنی بیشتری از این اکسپلویت‌ها را به دلیل شدت آن‌ها منتشر نمی‌کند و افزود که «تلاش همراه با حسن‌نیت» برای تماس با همه طرف‌های آسیب‌دیده برای افشای اکسپلویت‌های بالقوه و ارائه اصلاحی برای آسیب‌پذیری‌ها انجام داده است.

به گفته هالبورن ، Dogecoin، Zcash و Litecoin قبلاً وصله‌هایی را برای آسیب‌پذیری‌های کشف‌شده پیاده‌سازی کرده‌اند، اما هنوز صدها مورد ممکن است در معرض خطر قرار باشند.

منبع: کوین‌تلگراف