شرکت امنیتی هشدار می دهد که بیش از 280 بلاک چین در معرض خطر سوء استفاده های “zero-day” هستند
دوج کوین، زی کش و لایت کوین قبلاً آسیبپذیری «بحرانی» را اصلاح کردهاند، اما صدها مورد دیگر ممکن است این آسیبپذیری را نداشته باشند و میلیاردها ارز دیجیتال را به خطر بیندازند.
به گفته شرکت امنیت سایبری هالبورن، بیش از 280 شبکه بلاک چین در معرض خطر سوء استفاده های «روز صفر» هستند که می تواند حداقل 25 میلیارد دلار ارز دیجیتال را در معرض خطر قرار دهد.
هالبورن در یک پست وبلاگی در 13 مارس نسبت به آسیبپذیریای که «Rab13s» نامیده بود هشدار داد و اضافه کرد که قبلاً با برخی از بلاکچینها مانند دوج کوین، زی کش و لایت کوین کار کرده است تا راهحلی برای آن ایجاد کند.
هالبورن گفت که در مارس 2022 برای انجام بازبینی امنیتی پایگاه کد دوج کوین منعقد شد و “چندین آسیب پذیری حیاتی و قابل بهره برداری” یافت.
بعداً مشخص شد که همان آسیبپذیریها «بیش از 280 شبکه دیگر را تحت تأثیر قرار داده است» که میلیاردها دلار ارزهای دیجیتال را در معرض خطر قرار میدهند.
هالبورن سه آسیبپذیری را تشریح کرد که «بحرانیترین» آنها به مهاجم اجازه میدهد «پیامهای اجماع مخرب ساختهشدهای را به گرههای جداگانه بفرستد و باعث خاموش شدن هرکدام شود».
اضافه کرد که این پیامها در طول زمان میتوانند زنجیره بلوکی را در معرض حمله 51 درصدی قرار دهند که در آن مهاجم اکثر هش ریت ماینینگ شبکه یا توکنهای استیک را برای ساختن نسخه جدیدی از بلاک چین یا آفلاین کردن آن کنترل میکند.
آسیبپذیریهای روز صفر دیگری که پیدا کرد به مهاجمان بالقوه اجازه میدهد با ارسال درخواستهای ریموت Procedure Call (RPC) گرههای بلاک چین را از بین ببرند – پروتکلی که به برنامه اجازه میدهد ارتباط برقرار کند و از دیگری درخواست خدمات کند.
این اضافه کرد که احتمال سوء استفاده های مرتبط با RPC کمتر است زیرا برای انجام این حمله به اعتبارنامه های معتبر نیاز دارد.
هالبورن هشدار داد: «به دلیل تفاوتهای مبتنی بر کد بین شبکهها، همه آسیبپذیریها در همه شبکهها قابل بهرهبرداری نیستند، اما حداقل یکی از آنها ممکن است در هر شبکه قابل بهرهبرداری باشد».
این شرکت اعلام کرد در حال حاضر جزئیات فنی بیشتری از این اکسپلویتها را به دلیل شدت آنها منتشر نمیکند و افزود که «تلاش با حسن نیت» برای تماس با همه طرفهای آسیبدیده برای افشای اکسپلویتهای بالقوه و ارائه اصلاحی برای آسیبپذیریها انجام داده است.
دوج کوین، زی کش و لایت کوین قبلاً وصلههایی را برای آسیبپذیریهای کشفشده پیادهسازی کردهاند، اما به گفته هالبورن، هنوز صدها مورد ممکن است در معرض خطر قرار گیرند.
