halborn

ChainCatcher 消息，區塊鏈安全公司 Halborn 發文表示，2022 年 3 月 Halborn 受聘評估 Dogecoin 開源代碼庫是否存在任何可能影響區塊鏈安全的漏洞，在此評估期間 Halborn 發現了幾個嚴重且可利用的漏洞，並已由 Dogecoin 團隊修復。然而經過更廣泛的審查後，Halborn 確定同樣的漏洞影響了 280 多個其他網絡，包括 Litecoin 和 Zcash，使超過 250 億美元的數字資產面臨風險，Halborn 將此漏洞代號定為"Rab13s"。Rab13s 漏洞是在受影響網絡的 P2P 消息傳遞機制中發現的，利用此漏洞，攻擊者可以向各個節點發送精心製作的惡意共識消息，導致每個節點關閉並最終使網絡面臨 51% 攻擊和其他嚴重問題等風險。RPC 服務中的第二個漏洞允許攻擊者通過 RPC 請求使節點崩潰。然而成功的利用需要有效的憑據，這降低了整個網絡面臨風險的可能性，因為一些節點執行了停止命令。第三個漏洞允許攻擊者在用戶通過 RPC 運行節點的上下文中執行代碼。但是這種利用的可能性較低，因為它需要有效的憑據才能執行攻擊。Halborn 表示其已為 Rab13s 開發了一個漏洞利用工具包，其中包括帶有可配置參數的概念證明，以演示對不同網絡的攻擊。所有必要的技術信息都已與確定的利益相關者共享，以幫助他們修復錯誤，並為社區和礦工發布必要的補丁。對於使用基於 UTXO 的節點（例如狗狗幣）的項目，建議將所有節點升級到最新版本（1.14.6）。由於問題的嚴重性，Halborn 目前不會發布更多技術或漏洞利用細節。（來源鏈接）