Bir siber güvenlik firması olan Halborn, yakın zamanda 280'den fazla blockchain ağını sıfırıncı gün istismarları riskine sokabilecek ve potansiyel olarak en az 25 milyar dolar değerinde kriptoyu açığa çıkarabilecek bir güvenlik açığı konusunda uyarıda bulundu. Halborn'un "Rab13s" olarak adlandırdığı güvenlik açığı, etkilenen ağlar için önemli sonuçlar doğurabilir ve Halborn, bir düzeltme oluşturmak için Dogecoin, Litecoin ve Zcash gibi bazı ağlarla zaten çalıştı.
Uyarı, Halborn'un Mart 2022'de Dogecoin'in kod tabanının güvenlik incelemesini yürütmek üzere sözleşme imzalamasının ve "birkaç kritik ve kötüye kullanılabilir güvenlik açığı" bulmasının ardından geldi. Halborn daha sonra, aynı güvenlik açıklarının milyarlarca dolar değerinde kripto para birimini riske atan "280'den fazla başka ağı etkilediğini" keşfetti.
Halborn, en kritik olanı bir saldırganın "bireysel düğümlere hazırlanmış kötü niyetli fikir birliği mesajları göndererek her birinin kapanmasına neden olmasına" olanak tanıyan üç güvenlik açığını özetledi. Bu mesajlar zamanla blok zincirini %51 saldırısına maruz bırakabilir; burada bir saldırgan, blok zincirinin yeni bir sürümünü oluşturmak veya çevrimdışı duruma getirmek için ağın madencilik hash oranının veya stake edilen jetonlarının çoğunu kontrol eder.
Halborn, potansiyel saldırganların Uzaktan Yordam Çağrısı (RPC) istekleri göndererek blok zinciri düğümlerini çökertmesine izin verecek başka sıfır gün güvenlik açıkları buldu - bu bir protokol, bir programın iletişim kurmasına ve başka bir programdan hizmet talep etmesine olanak tanır. Ancak Halborn, saldırıyı gerçekleştirmek için geçerli kimlik bilgileri gerektirdiğinden, RPC ile ilgili açıklardan yararlanma olasılığının daha düşük olduğunu da sözlerine ekledi.
Halborn, ağlar arasındaki kod tabanı farklılıkları nedeniyle, tüm güvenlik açıklarından tüm ağlarda yararlanılamayacağı, ancak her ağda bunlardan en az birinin yararlanılabileceği konusunda uyardı. Siber güvenlik firması, ciddiyetleri nedeniyle açıklardan yararlanmaların daha fazla teknik detayını yayınlamadığını söyledi ve olası açıkları ifşa etmek ve güvenlik açıklarına çözüm sağlamak için etkilenen tüm taraflarla iletişime geçmek için "iyi niyetli bir çaba" gösterdiğini ekledi.
Dogecoin, Zcash ve Litecoin keşfedilen güvenlik açıkları için zaten yamalar uygulamış olsa da Halborn, yüzlerce başka ağın hala açığa çıkabileceği konusunda uyardı. Bu sıfır gün istismarlarının milyarlarca dolar değerindeki kripto para birimlerini etkileme potansiyeli, güçlü siber güvenlik önlemlerinin ve blockchain ağları için düzenli güvenlik denetimlerinin önemini vurguluyor. Blok zincirinin benimsenmesi artmaya devam ettikçe, bilgisayar korsanlarının bu ağlardaki güvenlik açıklarını hedeflemeye devam etmesi muhtemeldir ve bu da sağlam güvenlik önlemlerine olan ihtiyacı daha da kritik hale getirir.
Kaynak: https://blockchain.news/news/cybersecurity-firm-halborn-warns-of-zero-day-vulnerabilities-in-over-280-blockchain-networks