Luka w Avalanche groziła całkowitym wyłączeniem sieci

Deweloper Ethereum Peter Szilagyi ujawnił lukę, która mogła zostać wykorzystana przez napastnika do przejęcia sieci Avalanche.

Programista odkrył błąd w dniu 29 marca. Zostało to następnie szybko naprawione za pomocą łatki zaproponowanej przez Szilagyi. 8 września deweloper opublikował szczegółowy raport za zgodą inżyniera Ava Labs, Patricka O’Grady.

Publishing my #Avalanche vulnerability report from 29th March, 2022 that could have been used to take the entire network down at no cost.

The issue was fixed way back, and with the latest Avalanche hard fork, all nodes run the patched software.

Njoy 🙂https://t.co/nokedKF7IZ

— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022

Jak napastnik mógł przeprowadzić atak?

Luka polegała na “zdalnej awarii węzła z powodu złośliwego pakietu PeerList”. Atakujący mógłby zdecydować się na atak na dwa sposoby. W jednym z nich zarejestrować się jako walidator za 2000 AVAX (~40 000 USD) i wysyłać zainfekowane pakiety PeerList, które są wykorzystywane do tworzenia sieci. Szilagy zauważył:

Ponieważ węzły łączą się ze wszystkimi walidatorami, jest to dość natychmiastowa śmierć dla sieci.

Koszty ataku określił jako “akceptowalne”. Jego zdaniem obstawianie upadku tokena przyniosłoby atakującemu “niezły zysk”. W dłuższej perspektywie wartość inwestycji nie ucierpi, ponieważ blockchain “i tak odzyska swoją wartość w ciągu kilku godzin”.

Drugą opcją dla atakującego było zarejestrowanie węzła “non-validator”, który za darmo wysyłałby złośliwe pakiety. Jednak w tym przypadku wyłączenie sieci trwałoby dłużej. Deweloper stwierdził:

Avalanche jest bardzo spokojny o połączenia sieciowe, które nawiązuje, a nawet jedno z nich wystarczy, aby wyłączyć węzeł.