halborn

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ会社 Halborn は、2022 年 3 月に Halborn が Dogecoin のオープンソースコードベースにブロックチェーンセキュリティに影響を与える可能性のある脆弱性が存在するかどうかを評価するために雇われたと発表しました。この評価期間中、Halborn はいくつかの深刻で悪用可能な脆弱性を発見し、Dogecoin チームによって修正されました。しかし、より広範な調査の結果、Halborn は同様の脆弱性が Litecoin や Zcash を含む 280 以上の他のネットワークにも影響を与えていることを確認し、250 億ドル以上のデジタル資産がリスクにさらされていることを明らかにしました。Halborn はこの脆弱性に "Rab13s" というコードネームを付けました。Rab13s 脆弱性は、影響を受けたネットワークの P2P メッセージングメカニズムにおいて発見されました。この脆弱性を利用することで、攻撃者は各ノードに巧妙に作成された悪意のあるコンセンサスメッセージを送信し、各ノードをシャットダウンさせ、最終的にネットワークが 51% 攻撃やその他の深刻な問題に直面するリスクを引き起こす可能性があります。RPC サービス内の 2 番目の脆弱性は、攻撃者が RPC リクエストを通じてノードをクラッシュさせることを可能にします。しかし、成功するためには有効な資格情報が必要であり、これにより一部のノードが停止命令を実行したため、ネットワーク全体がリスクにさらされる可能性は低くなります。3 番目の脆弱性は、攻撃者がユーザーが RPC を介してノードを実行しているコンテキスト内でコードを実行することを可能にします。しかし、この利用の可能性は低く、有効な資格情報が必要です。Halborn は Rab13s のために、異なるネットワークへの攻撃を示すための構成可能なパラメータを持つ概念実証を含む脆弱性利用ツールキットを開発したと述べています。すべての必要な技術情報は、バグ修正を支援するために特定された利害関係者と共有され、コミュニティやマイナーに必要なパッチが公開されました。UTXO ベースのノード（例：Dogecoin）を使用しているプロジェクトには、すべてのノードを最新バージョン（1.14.6）にアップグレードすることを推奨します。問題の深刻さから、Halborn は現在、さらなる技術的または脆弱性利用の詳細を公開しないとしています。（出典リンク）