Luka w Avalanche groziła całkowitym wyłączeniem sieci | Wiadomości | CrypS.

Luka w Avalanche groziła całkowitym wyłączeniem sieci

Zerelik Maciej
avalanche

Deweloper Ethereum Peter Szilagyi ujawnił lukę, która mogła zostać wykorzystana przez napastnika do przejęcia sieci Avalanche.


Programista odkrył błąd w dniu 29 marca. Zostało to następnie szybko naprawione za pomocą łatki zaproponowanej przez Szilagyi. 8 września deweloper opublikował szczegółowy raport za zgodą inżyniera Ava Labs, Patricka O’Grady.

Jak napastnik mógł przeprowadzić atak?

Luka polegała na „zdalnej awarii węzła z powodu złośliwego pakietu PeerList”. Atakujący mógłby zdecydować się na atak na dwa sposoby. W jednym z nich zarejestrować się jako walidator za 2000 AVAX (~40 000 USD) i wysyłać zainfekowane pakiety PeerList, które są wykorzystywane do tworzenia sieci. Szilagy zauważył:

Ponieważ węzły łączą się ze wszystkimi walidatorami, jest to dość natychmiastowa śmierć dla sieci.

Koszty ataku określił jako „akceptowalne”. Jego zdaniem obstawianie upadku tokena przyniosłoby atakującemu „niezły zysk”. W dłuższej perspektywie wartość inwestycji nie ucierpi, ponieważ blockchain „i tak odzyska swoją wartość w ciągu kilku godzin”.

Drugą opcją dla atakującego było zarejestrowanie węzła „non-validator”, który za darmo wysyłałby złośliwe pakiety. Jednak w tym przypadku wyłączenie sieci trwałoby dłużej. Deweloper stwierdził:

Avalanche jest bardzo spokojny o połączenia sieciowe, które nawiązuje, a nawet jedno z nich wystarczy, aby wyłączyć węzeł.

avalanche
reklama
reklama