Błąd naprawiony w sieci Dogecoin wciąż jest obecny w 280 blockchainach

Firma Halborn, zajmująca się bezpieczeństwem blockchain, twierdzi, że luka w zabezpieczeniach, którą znalazła w zeszłym roku w otwartej bazie kodu sieci Dogecoin, jest nadal obecna w co najmniej 280 innych sieciach.

Podczas oceny przeprowadzonej w 2022 roku analitycy znaleźli kilka krytycznych luk, które mogły zostać wykorzystane przez hakerów do ataku na sieci. Deweloperzy Dogecoin zajęli się wówczas wskazanym problemem i usunęli luki.

Kolejne analizy przeprowadzone przez firmę Halborn ujawniły jednak, że podobne luki były obecne w kilku innych sieciach, w tym Litecoin i Zcash. Może to narażać tokeny o wartości ponad 25 mld USD na potencjalne zagrożenia bezpieczeństwa.

– Ze względu na różnice w bazie kodu pomiędzy sieciami nie wszystkie luki są możliwe do wykorzystania we wszystkich sieciach, ale przynajmniej jedna z nich może być wykorzystana w każdej sieci – powiedział Rob Behnke, dyrektor generalny Halborn. – W podatnych sieciach udane wykorzystanie odpowiedniej luki może prowadzić do odmowy świadczenia usługi lub zdalnego wykonania kodu.

Luka w komunikacji P2P

Firma Halborn określiła lukę nazwą „Rab13s”. Według analityków najbardziej krytyczna luka znaleziona w zaatakowanych sieciach dotyczy w szczególności sposobu, w jaki odbywa się w nich komunikacja P2P. Haker może wysłać złośliwe wiadomości konsensusu do poszczególnych węzłów w sieci, powodując ich wyłączenie i sprawiając, że sieć będzie podatna na ataki 51% lub inne poważne problemy.

Niektóre z tych luk zostały wcześniej wykryte w sieci Bitcoin, ale firma Halborn zidentyfikowała również lukę, która występowała wyłącznie w sieci Dogecoin. Ta konkretna luka była związana z usługami zdalnego wywoływania procedur (RPC), co mogło pozwolić atakującym na zdalne wykonanie kodu i wpłynąć na poszczególnych górników.