Mae cwmni diogelwch Blockchain, Halborn, wedi canfod nifer o wendidau critigol y gellir eu hecsbloetio sy'n effeithio ar fwy na 280 o rwydweithiau, gan gynnwys Litecoin (LTC) a Zcash (ZEC). O'r enw cod “Rab13s,” mae'r bregusrwydd hwn wedi rhoi dros $ 25 biliwn o asedau digidol mewn perygl.
Canfuwyd hyn gyntaf yn rhwydwaith Dogecoin flwyddyn yn ôl, a gafodd ei osod wedyn gan y tîm y tu ôl i'r prif memecoin.
51% Ymosodiadau a Materion Eraill
Yn ôl y blogbost swyddogol, darganfu ymchwilwyr Holborn y bregusrwydd mwyaf hanfodol yn ymwneud â chyfathrebu rhwng cyfoedion (p2p) a all, os caiff ei hecsbloetio, helpu ymosodwyr i greu negeseuon consensws a'u hanfon at nodau unigol a'u cymryd oddi ar-lein. Yn y pen draw, gallai bygythiad o'r fath hefyd amlygu rhwydweithiau i risgiau megis ymosodiadau 51% a materion difrifol eraill.
“Gall ymosodwr gropian cyfoedion y rhwydwaith gan ddefnyddio neges getaddr ac ymosod ar y nodau heb eu cywiro.”
Nododd y cwmni ddiwrnod sero arall a oedd yn ymwneud yn unigryw â Dogecoin, gan gynnwys bregusrwydd gweithredu cod o bell RPC (Galwad Gweithdrefn Anghysbell) yn effeithio ar lowyr unigol.
Darganfuwyd amrywiadau o'r dyddiau sero hyn hefyd mewn rhwydweithiau blockchain tebyg, megis Litecoin a Zcash. Er nad yw'r holl fygiau yn ecsbloetio eu natur oherwydd y gwahaniaethau mewn cod sylfaen rhwng y rhwydweithiau, gallai ymosodwyr ar bob rhwydwaith fanteisio ar o leiaf un ohonynt.
Yn achos rhwydweithiau bregus, dywedodd Halborn y gallai ecsbloetio’r bregusrwydd perthnasol yn llwyddiannus arwain at wrthod gwasanaeth neu weithredu cod o bell.
Mae'r llwyfan diogelwch o'r farn bod symlrwydd y gwendidau Rab13s hyn yn cynyddu'r posibilrwydd o ymosodiad.
Ar ôl ymchwilio ymhellach, canfu ymchwilwyr Halborn ail fregusrwydd yn y gwasanaethau RPC a alluogodd ymosodwr i chwalu'r nod trwy geisiadau RPC. Ond byddai ecsbloetio llwyddiannus yn gofyn am gymwysterau dilys. Mae hyn yn lleihau'r posibilrwydd y bydd y rhwydwaith cyfan mewn perygl oherwydd bod rhai nodau'n gweithredu'r gorchymyn stopio.
Mae trydydd bregusrwydd, ar y llaw arall, yn gadael i endidau maleisus weithredu cod yng nghyd-destun y defnyddiwr sy'n rhedeg y nod trwy'r rhyngwyneb cyhoeddus (RPC). Mae'r tebygolrwydd o ymelwa hwn hefyd yn isel gan fod hyn hyd yn oed yn gofyn am gymhwyster dilys i gynnal ymosodiad llwyddiannus.
Manteision Bug
Yn y cyfamser, mae pecyn camfanteisio ar gyfer Rab13s wedi'i ddatblygu sy'n cynnwys prawf o gysyniad gyda pharamedrau ffurfweddadwy i ddangos yr ymosodiadau ar rwydweithiau amrywiol eraill.
Mae Halborn wedi cadarnhau rhannu'r holl fanylion technegol angenrheidiol gyda'r rhanddeiliaid a nodwyd i'w helpu i adfer y bygiau, yn ogystal â rhyddhau'r clytiau perthnasol ar gyfer y gymuned a glowyr.
Binance Free $ 100 (Exclusive): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (telerau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/