Hơn 280 chuỗi khối đang bị cản trở bởi các lỗ hổng lớn được gọi là “Rab13s”, theo một báo cáo được công bố ngày hôm qua bởi công ty bảo mật chuỗi khối Halborn.
Theo Halborn, nó đã được thuê để kiểm tra mã của Dogecoin vào tháng 3 năm 2022, với dự án sẽ sớm vá bất kỳ lỗ hổng nào mà nó phát hiện ra.
Sau khi điều tra kỹ lưỡng hơn, Halborn phát hiện ra rằng các lỗ hổng tương tự đã ảnh hưởng đến hơn 280 mạng khác, bao gồm Litecoin và Zcash, khiến hơn 25 tỷ đô la tài sản kỹ thuật số gặp rủi ro.
Theo Halborn, lỗ hổng chính cho phép kẻ tấn công lấy các nút blockchain chưa được vá ngoại tuyến bằng cách gửi thông báo đồng thuận đến các nút đó thông qua liên lạc ngang hàng (p2p). Kẻ tấn công có thể thực hiện cuộc tấn công 51% vào mạng chuỗi khối có liên quan một cách khả thi hơn bằng cách đánh sập các nút. Sau đó, kẻ tấn công có thể thực hiện một cuộc tấn công chi tiêu gấp đôi hoặc gây ra thiệt hại mạng khác.
Lỗ hổng thứ cấp sẽ cho phép tin tặc tạm dừng các nút thông qua RPC. Lỗ hổng thứ ba mà Halborn phát hiện khuyến khích tin tặc thực thi mã thông qua RPC. Cả hai phương pháp tấn công này đều yêu cầu thông tin xác thực hợp lệ và do đó, tương đối khó thực hiện.
Horizen cũng đưa ra một bản cập nhật mà Halborn đã thông báo cho họ về lỗ hổng tiềm ẩn. Hôm qua, nó đã tiết lộ vấn đề và xuất bản một bản vá để giải quyết các lỗ hổng.
Litecoin cũng đã phát hành một bản cập nhật vào đầu tháng này để giải quyết lỗ hổng. Tuy nhiên, đáng chú ý là nó không đề cập đến Halborn hoặc những phát hiện của nó. Bản cập nhật mới đảm bảo rằng các nút trên phần cứng cấp thấp hơn không bị hết bộ nhớ khi lưu lượng truy cập mạng tăng lên.
Theo Halborn, một số vấn đề là lỗ hổng Bitcoin đã biết trước đây, trong khi những vấn đề khác chỉ xảy ra với Dogecoin và các mạng khác. Theo công ty bảo mật blockchain, không phải tất cả các khai thác đều có thể thực hiện được trên tất cả các mạng.
Sau khi điều tra kỹ lưỡng hơn, Halborn phát hiện ra rằng các lỗ hổng tương tự đã ảnh hưởng đến hơn 280 mạng khác, bao gồm Litecoin và Zcash, khiến hơn 25 tỷ đô la tài sản kỹ thuật số gặp rủi ro.
Theo Halborn, lỗ hổng chính cho phép kẻ tấn công lấy các nút blockchain chưa được vá ngoại tuyến bằng cách gửi thông báo đồng thuận đến các nút đó thông qua liên lạc ngang hàng (p2p). Kẻ tấn công có thể thực hiện cuộc tấn công 51% vào mạng chuỗi khối có liên quan một cách khả thi hơn bằng cách đánh sập các nút. Sau đó, kẻ tấn công có thể thực hiện một cuộc tấn công chi tiêu gấp đôi hoặc gây ra thiệt hại mạng khác.
Lỗ hổng thứ cấp sẽ cho phép tin tặc tạm dừng các nút thông qua RPC. Lỗ hổng thứ ba mà Halborn phát hiện khuyến khích tin tặc thực thi mã thông qua RPC. Cả hai phương pháp tấn công này đều yêu cầu thông tin xác thực hợp lệ và do đó, tương đối khó thực hiện.
Các chuỗi khối bắt đầu giải quyết vấn đề
Zcash đã công bố ngày hôm qua về việc phát hành bản cập nhật giải quyết việc khai thác. Theo dự án, lỗ hổng được phát hiện trong mã của Bitcoin Core và không có bằng chứng về một cuộc tấn công vào chính Zcash.Horizen cũng đưa ra một bản cập nhật mà Halborn đã thông báo cho họ về lỗ hổng tiềm ẩn. Hôm qua, nó đã tiết lộ vấn đề và xuất bản một bản vá để giải quyết các lỗ hổng.
Litecoin cũng đã phát hành một bản cập nhật vào đầu tháng này để giải quyết lỗ hổng. Tuy nhiên, đáng chú ý là nó không đề cập đến Halborn hoặc những phát hiện của nó. Bản cập nhật mới đảm bảo rằng các nút trên phần cứng cấp thấp hơn không bị hết bộ nhớ khi lưu lượng truy cập mạng tăng lên.
Theo Halborn, một số vấn đề là lỗ hổng Bitcoin đã biết trước đây, trong khi những vấn đề khác chỉ xảy ra với Dogecoin và các mạng khác. Theo công ty bảo mật blockchain, không phải tất cả các khai thác đều có thể thực hiện được trên tất cả các mạng.
Có thể bạn sẽ thích