A empresa de segurança Blockchain, Halborn, detectou várias vulnerabilidades críticas e exploráveis que afetam mais de 280 redes, incluindo Litecoin (LTC) e Zcash (ZEC). Com o codinome “Rab13s”, essa vulnerabilidade colocou em risco mais de US$ 25 bilhões em ativos digitais.
Isso foi detectado pela primeira vez na rede Dogecoin há um ano, que foi corrigido pela equipe por trás do principal memecoin.
51% Ataques e outros problemas
De acordo com a postagem do blog oficial, os pesquisadores de Holborn descobriram a vulnerabilidade mais crítica relacionada às comunicações ponto a ponto (p2p) que, se exploradas, podem ajudar os invasores a criar mensagens de consenso e enviá-las para nós individuais e colocá-los offline. Eventualmente, essa ameaça também pode expor as redes a riscos como ataques de 51% e outros problemas graves.
“Um invasor pode rastrear os pares de rede usando a mensagem getaddr e atacar os nós não corrigidos.”
A empresa identificou outro dia zero que estava exclusivamente relacionado ao Dogecoin, incluindo uma vulnerabilidade de execução remota de código RPC (Remote Procedure Call) que afetava mineradores individuais.
Variantes desses dias zero também foram descobertas em redes blockchain semelhantes, como Litecoin e Zcash. Embora nem todos os bugs sejam exploráveis por natureza devido às diferenças na base de código entre as redes, pelo menos um deles pode ser explorado por invasores em cada rede.
No caso de redes vulneráveis, Halborn disse que a exploração bem-sucedida da vulnerabilidade relevante pode levar à negação de serviço ou à execução remota de código.
A plataforma de segurança acredita que a simplicidade dessas vulnerabilidades do Rab13 aumenta a possibilidade de ataque.
Após uma investigação mais aprofundada, os pesquisadores da Halborn descobriram uma segunda vulnerabilidade nos serviços RPC que permitia que um invasor travasse o nó por meio de solicitações RPC. Mas a exploração bem-sucedida exigiria credenciais válidas. Isso reduz a possibilidade de toda a rede estar em risco porque alguns nós implementam o comando stop.
Uma terceira vulnerabilidade, por outro lado, permite que entidades mal-intencionadas executem código no contexto do usuário executando o nó por meio da interface pública (RPC). A probabilidade dessa exploração também é baixa, pois mesmo isso requer uma credencial válida para realizar um ataque bem-sucedido.
Exploits de Bug
Enquanto isso, foi desenvolvido um exploit kit para Rab13s que inclui uma prova de conceito com parâmetros configuráveis para demonstrar os ataques em várias outras redes.
Halborn confirmou compartilhar todos os detalhes técnicos necessários com as partes interessadas identificadas para ajudá-los a corrigir os bugs, bem como liberar os patches relevantes para a comunidade e os mineradores.
Binance Grátis $ 100 (Exclusivo): Use este link para se registrar e receber $ 100 grátis e 10% de desconto nas taxas Binance Futures no primeiro mês (termos).
Oferta Especial PrimeXBT: Use este link para se registrar e inserir o código POTATO50 para receber até $ 7,000 em seus depósitos.
Fonte: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/