साइबर सिक्योरिटी फर्म हैलबोर्न के अनुसार, 280 या अधिक ब्लॉकचेन नेटवर्क को "शून्य-दिन" शोषण का जोखिम होने का अनुमान है, जो कम से कम $ 25 बिलियन मूल्य के क्रिप्टो को जोखिम में डाल सकता है।
13 मार्च में ब्लॉग, हैलबॉर्न ने भेद्यता की चेतावनी दी जिसे उसने "Rab13s" करार दिया - इसे जोड़ने के लिए पहले से ही कुछ ब्लॉकचेन के साथ काम किया है, जैसे कि डॉगकॉइन, लिटकोइन और ज़कैश, इसके लिए एक फिक्स स्थापित करने के लिए।
हलबॉर्न ने बड़े पैमाने पर खोज की #शून्यदिवस डॉगकोइन और लिटकोइन और ज़कैश सहित 280+ नेटवर्क को प्रभावित करते हुए, $25 बिलियन से अधिक की डिजिटल संपत्ति को जोखिम में डाल दिया!
...
- हैलबोर्न (@HalbornSecurity) मार्च २०,२०२१
हलबॉर्न को मार्च 2022 में डॉगकोइन द्वारा अपने कोडबेस की सुरक्षा समीक्षा करने के लिए अनुबंधित किया गया था और "कई महत्वपूर्ण और शोषणकारी कमजोरियों" को पाया।
इसने बाद में उन्हें निर्धारित किया समान कमजोरियाँ "280 से अधिक अन्य नेटवर्क प्रभावित" जिसने अरबों डॉलर की क्रिप्टोकरेंसी को जोखिम में डाला।
हलबॉर्न ने तीन कमजोरियों को रेखांकित किया, जिनमें से "सबसे महत्वपूर्ण" एक हमलावर को "अलग-अलग नोड्स को तैयार किए गए दुर्भावनापूर्ण सहमति संदेश भेजने की अनुमति देता है, जिससे प्रत्येक बंद हो जाता है।"
3/सबसे महत्वपूर्ण भेद्यता की खोज पीयर-टू-पीयर (पी2पी) संचार से संबंधित है जहां हमलावर आम सहमति संदेशों को तैयार कर सकते हैं और उन्हें अलग-अलग नोड्स पर भेज सकते हैं, उन्हें ऑफ़लाइन ले जा सकते हैं।
हलबॉर्न शोधकर्ताओं के नेतृत्व में @Safe_buffer, इस भेद्यता को कोड-नाम दिया है #रब13s.
- हैलबोर्न (@HalbornSecurity) मार्च २०,२०२१
इसने इन संदेशों को समय के साथ ब्लॉकचैन को उजागर कर सकता है 51% हमला जहां एक हमलावर अधिकांश नेटवर्क को नियंत्रित करता है खनन हैश दर या ब्लॉकचैन का नया संस्करण बनाने या इसे ऑफ़लाइन लेने के लिए स्टेक किए गए टोकन।
अन्य शून्य-दिन की भेद्यताएँ जो इसे मिलीं, संभावित हमलावरों को दुर्घटनाग्रस्त होने की अनुमति देंगी ब्लॉकचेन नोड्स दूरस्थ प्रक्रिया कॉल (RPC) अनुरोध भेजकर - एक प्रोटोकॉल जो एक प्रोग्राम को संचार करने और दूसरे से सेवाओं का अनुरोध करने की अनुमति देता है।
7/ दूसरे, हमलावर सामान्य नोड उपयोगकर्ता के रूप में सार्वजनिक इंटरफ़ेस (RPC) के माध्यम से कोड निष्पादित कर सकते हैं। चूंकि हमले को अंजाम देने के लिए एक वैध क्रेडेंशियल की आवश्यकता होती है, इसलिए इस शोषण की संभावना कम होती है।
- हैलबोर्न (@HalbornSecurity) मार्च २०,२०२१
इसने कहा कि आरपीसी से संबंधित कारनामों की संभावना कम थी क्योंकि इसे हमले के लिए वैध क्रेडेंशियल्स की आवश्यकता होती है।
"नेटवर्क के बीच कोडबेस अंतर के कारण सभी नेटवर्क पर सभी कमजोरियों का शोषण नहीं किया जा सकता है, लेकिन उनमें से कम से कम प्रत्येक नेटवर्क पर शोषण योग्य हो सकता है," हेलबॉर्न ने चेतावनी दी।
संबंधित: जम्प क्रिप्टो और Oasis.app ने $225M के लिए वर्महोल हैकर का 'प्रतिशोध' किया
फर्म ने कहा कि इस समय यह शोषण की गंभीरता के कारण आगे तकनीकी विवरण जारी नहीं कर रही है और इसने सभी प्रभावित पक्षों से संपर्क करने के लिए संभावित शोषण का खुलासा करने और कमजोरियों के लिए उपचार प्रदान करने के लिए "सद्भावनापूर्ण प्रयास" किया है।
डॉगकोइन, ज़कैश और लिटकोइन ने पहले ही खोजी गई कमजोरियों के लिए पैच लागू कर दिए हैं, लेकिन हलबोर्न के अनुसार सैकड़ों को अभी भी उजागर किया जा सकता है।
स्रोत: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm