Blockchain güvenlik firması Halborn, Litecoin (LTC) ve Zcash (ZEC) dahil olmak üzere 280'den fazla ağı etkileyen çok sayıda kritik ve kötüye kullanılabilir güvenlik açığı tespit etti. Kod adı "Rab13s" olan bu güvenlik açığı, 25 milyar doların üzerinde dijital varlığı riske attı.
Bu, ilk olarak bir yıl önce Dogecoin ağında tespit edildi ve daha sonra birinci sınıf memecoinin arkasındaki ekip tarafından düzeltildi.
%51 Saldırıları ve Diğer Sorunlar
Resmi blog gönderisine göre, Holborn araştırmacıları eşler arası (p2p) iletişimlerle ilgili en kritik güvenlik açığını keşfettiler. Sonunda, böyle bir tehdit, ağları %51 saldırıları ve diğer ciddi sorunlar gibi risklere de maruz bırakabilir.
"Bir saldırgan getaddr mesajını kullanarak ağ eşlerini tarayabilir ve yama uygulanmamış düğümlere saldırabilir."
Firma, bireysel madencileri etkileyen bir RPC (Uzaktan Prosedür Çağrısı) Uzaktan kod yürütme güvenlik açığı da dahil olmak üzere Dogecoin ile benzersiz bir şekilde ilişkili olan başka bir sıfır gün belirledi.
Bu sıfır günlerin varyantları, Litecoin ve Zcash gibi benzer blockchain ağlarında da keşfedildi. Ağlar arasındaki kod tabanındaki farklılıklar nedeniyle tüm hatalar doğası gereği istismar edilebilir olmasa da, her ağdaki saldırganlar bunlardan en az birini kullanabilir.
Halborn, savunmasız ağlar söz konusu olduğunda, ilgili güvenlik açığından başarılı bir şekilde yararlanmanın hizmet reddine veya uzaktan kod yürütülmesine yol açabileceğini söyledi.
Güvenlik platformu, bu Rab13s güvenlik açıklarının basitliğinin saldırı olasılığını artırdığına inanıyor.
Daha fazla araştırmanın ardından Halborn araştırmacıları, RPC hizmetlerinde bir saldırganın RPC istekleri aracılığıyla düğümü çökertmesine olanak tanıyan ikinci bir güvenlik açığı buldu. Ancak başarılı bir kullanım, geçerli kimlik bilgileri gerektirecektir. Bu, bazı düğümlerin durdurma komutunu uyguladığı için tüm ağın risk altında olma olasılığını azaltır.
Öte yandan üçüncü bir güvenlik açığı, kötü niyetli varlıkların genel arabirim (RPC) aracılığıyla düğümü çalıştıran kullanıcı bağlamında kod yürütmesine izin verir. Başarılı bir saldırı gerçekleştirmek için geçerli bir kimlik bilgisi gerektirdiğinden, bu açıktan yararlanma olasılığı da düşüktür.
Hata Açıkları
Bu arada, çeşitli diğer ağlara yapılan saldırıları göstermek için yapılandırılabilir parametrelere sahip bir konsept kanıtı içeren bir Rab13s istismar kiti geliştirildi.
Halborn, hataları düzeltmelerine yardımcı olmak ve topluluk ve madenciler için ilgili yamaları yayınlamak için gerekli tüm teknik detayları belirlenen paydaşlarla paylaştığını onayladı.
Binance Ücretsiz 100$ (Özel): Kayıt olmak ve ilk ay Binance Vadeli İşlemlerinde 100$ ücretsiz ve %10 indirim almak için bu bağlantıyı kullanın (şartlar).
PrimeXBT Özel Teklifi: Kaydolmak ve PATATO50 kodunu girmek için bu bağlantıyı kullanın ve depozitolarınızdan 7,000$'a kadar kazanın.
Kaynak: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/