Se estima que 280 o más redes de blockchain están en riesgo de vulnerabilidades de "día cero" que podrían poner en riesgo criptografía por valor de al menos $ 25 mil millones, según la firma de seguridad cibernética Halborn.
En un 13 de marzo blogHalborn advirtió sobre la vulnerabilidad que denominó "Rab13s", y agregó que ya ha trabajado con algunas cadenas de bloques, como Dogecoin, Litecoin y Zcash, para instituir una solución.
Halborn descubrió enormes #Día cero impactando Dogecoin y más de 280 redes, incluidas Litecoin y Zcash, ¡poniendo en riesgo más de $ 25 mil millones en activos digitales!
...
- Halborn (@HalbornSecurity) Marzo 13, 2023
Dogecoin contrató a Halborn en marzo de 2022 para realizar una revisión de seguridad de su base de código y encontró "varias vulnerabilidades críticas y explotables".
Más tarde determinó aquellos mismas vulnerabilidades "afectó a otras 280 redes" que arriesgaron miles de millones de dólares en criptomonedas.
Halborn describió tres vulnerabilidades, la "más crítica" de las cuales permite a un atacante "enviar mensajes de consenso maliciosos elaborados a nodos individuales, lo que hace que cada uno se apague".
3/ La vulnerabilidad más crítica descubierta está relacionada con las comunicaciones punto a punto (p2p), donde los atacantes pueden crear mensajes de consenso y enviarlos a nodos individuales, desconectándolos.
Los investigadores de Halborn, dirigidos por @safe_buffer, ha asignado un nombre en código a esta vulnerabilidad #Rab13s.
- Halborn (@HalbornSecurity) Marzo 13, 2023
Agregó que estos mensajes con el tiempo podrían exponer la cadena de bloques a un 51% ataque donde un atacante controla la mayoría de la red tasa de hash de minería o tokens apostados para crear una nueva versión de la cadena de bloques o desconectarla.
Otras vulnerabilidades de día cero que encontró permitirían que los atacantes potenciales se bloquearan nodos de blockchain mediante el envío de solicitudes de llamada a procedimiento remoto (RPC), un protocolo que permite que un programa se comunique y solicite servicios de otro.
7/ En segundo lugar, los atacantes pueden ejecutar código a través de la interfaz pública (RPC) como un usuario de nodo normal. Dado que se requiere una credencial válida para llevar a cabo el ataque, la probabilidad de este exploit es menor.
- Halborn (@HalbornSecurity) Marzo 13, 2023
Agregó que la probabilidad de vulnerabilidades relacionadas con RPC era menor, ya que requiere credenciales válidas para realizar el ataque.
“Debido a las diferencias de base de código entre las redes, no todas las vulnerabilidades son explotables en todas las redes, pero al menos una de ellas puede ser explotable en cada red”, advirtió Halborn.
Relacionado: Jump Crypto y Oasis.app 'contraexplotan' al hacker Wormhole por $ 225 millones
La firma dijo que en este momento no dará a conocer más detalles técnicos de los exploits debido a su gravedad y agregó que hizo un "esfuerzo de buena fe" para contactar a todas las partes afectadas para revelar los posibles exploits y proporcionar remedio a las vulnerabilidades.
Dogecoin, Zcash y Litecoin ya implementaron parches para las vulnerabilidades descubiertas, pero cientos aún podrían estar expuestos según Halborn.
Fuente: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm