криптовалюта подзвігаў сталі адной з нарастаючых пагроз для прасоўвання і прыняцця лічбавых актываў. За гэтыя гады галіна пацярпела велізарныя страты праз некалькі эксплойтаў на крыптаблокчейнах і звязаных з імі платформах.
Нягледзячы на тое, што атакі бываюць у розных формах, эксплойты нулявога дня сталі прыкметным і перыядычным тыпам для дрэнных акцёраў. Гэты тып эксплойтаў палюе на ўразлівасці ў праграмным забеспячэнні крыптаблокчейнов і платформаў.
Нядаўні даклад ахоўнай фірмы Halborn паказвае, што сотні блокчейнаў у цяперашні час знаходзяцца пад пагрозай эксплойтаў нулявога дня.
Выяўлены некаторыя асноўныя ўразлівасці ў блокчейнах
У апошні час Халбарн раскрыты выяўленне масавых эксплойтаў нулявога дня, накіраваных супраць некалькіх крыптаблокчэйн-сетак праз серыю паведамленняў у Twitter. Уразлівасць праграмнага забеспячэння з тэгам "Rab 13s" павінна была паўплываць на больш чым 280 сетак, такіх як Dogecoin, Zcash, Litecoin і іншыя.
Ахоўная фірма адзначыла, што эксплойт можа прывесці да магчымай страты крыпта-актываў на суму больш за 25 мільярдаў долараў у мэтавых сетках.
У сакавіку 2022 года Dogecoin заключыла кантракт з Halborn на правядзенне аўдыту бяспекі сваёй кодавай базы. Ахоўная фірма згадала аб выяўленні мноства крытычных і адкрытых уразлівасцяў у сетцы Dogecoin. Халборн таксама паведаміў, што гэтыя падобныя ўразлівасці паўплывалі на больш чым 280 іншых блокчейн-сетак у крыптаіндустрыі.
У сваім паведамленні ў Twitter Хэлборн падкрэсліў некаторыя ўразлівасці праграмнага забеспячэння ў выкрытых сетках блокчейн. Характэрна, што галоўная шчыліна у сетках дазваляе эксплуататару ствараць і адпраўляць шкоднасныя кансенсусныя паведамленні асобным вузлам. Такім чынам, такая атака выкліча аўтаматычнае адключэнне вузлоў.
Ахоўная фірма заявіла, што такія паведамленні могуць прывесці да пашкоджання блокчейна 51% атакі праз некаторы час. У далейшым эксплойтар мог кантраляваць большасць аперацый у сетцы, напрыклад, хэш-рэйт майнинга або токены для стаўкі. Зламыснік можа нават адключыць блокчейн або распрацаваць новую версію.
Ён адзначыў, што прыклаў разумныя намаганні, каб звязацца з пацярпелымі сеткамі для эфектыўнай барацьбы з тэхнічнымі збоямі. Было адзначана, што сеткі таксама могуць звяртацца да адказнага раскрыцця інфармацыі і рашэнняў для сваіх паслуг. Акрамя таго, ён рэкамендаваў абнавіць усе вузлы на аснове UTXO да апошняй версіі для некаторых сетак, такіх як Dogecoin.
Эксплойт нулявога дня і яго ўплыў на крыптаграфію
Эксплойт нулявога дня гэта атака бяспекі, накіраваная на ўразлівасці праграмнага забеспячэння ў сістэмах і сетках. Звычайна эксплуататар будзе шукаць і выкарыстоўваць уразлівасці праграмнага забеспячэння для нападаў да таго, як умяшаецца бок па змякчэнні наступстваў.
Крыпта- і блокчэйн-індустрыі ў мінулым былі сведкамі некалькіх эксплойтаў нулявога дня. Платформа смарт-кантрактаў Parity страціла ў ліпені 30 года токенаў эфіру на суму больш за 2017 мільёнаў долараў з-за эксплойта. Хакеры таксама атакавалі CryptoKittes у снежні 2017 года і на працягу двух дзён вывезлі ETH на суму каля 17 мільёнаў долараў.
У большасці выпадкаў зламыснікі атрымліваюць доступ да сродкаў сваіх мэтаў, рассылаючы карыстальнікам фішынгавыя электронныя лісты або паведамленні. Пасля таго, як карыстальнік адкрывае паведамленне або націскае на пераадрасаваныя спасылкі, эксплуататар атрымае доступ да ўліковых дадзеных карыстальніка і іншай жыццёва важнай інфармацыі для атакі.
Выява з Pixabay і дыяграма з Tradingview.com
Крыніца: https://bitcoinist.com/crypto-security-firm-claims-blockchains-are-at-risk/