Amcangyfrifir bod 280 neu fwy o rwydweithiau blockchain mewn perygl o orchestion “dim diwrnod” a allai roi gwerth o leiaf $25 biliwn o crypto mewn perygl, yn ôl cwmni seiberddiogelwch Halborn.
Mewn Mawrth 13 blog, Rhybuddiodd Halborn am y bregusrwydd a alwyd yn “Rab13s” - gan ychwanegu ei fod eisoes wedi gweithio gyda rhai cadwyni bloc, fel Dogecoin, Litecoin a Zcash, i sefydlu atgyweiriad ar ei gyfer.
Halborn darganfod enfawr #Diwrnod Sero effeithio ar rwydweithiau Dogecoin a 280+ gan gynnwys Litecoin a Zcash, gan roi dros $25 biliwn o asedau digidol mewn perygl!
...
- Halborn (@HalbornSecurity) Mawrth 13, 2023
Cafodd Halborn ei gontractio gan Dogecoin ym mis Mawrth 2022 i gynnal adolygiad diogelwch o’i sylfaen godau a chanfod “nifer o wendidau critigol y gellir eu hecsbloetio.”
Penderfynodd y rheini yn ddiweddarach yr un gwendidau “effeithiwyd ar dros 280 o rwydweithiau eraill” a oedd yn peryglu gwerth biliynau o ddoleri o arian cyfred digidol.
Amlinellodd Halborn dri gwendid, y mae’r “mwyaf tyngedfennol” ohonynt yn caniatáu i ymosodwr “anfon negeseuon consensws maleisus crefftus i nodau unigol, gan achosi i bob un gau.”
3/ Mae'r bregusrwydd mwyaf hanfodol a ddarganfuwyd yn ymwneud â chyfathrebu rhwng cyfoedion (p2p) lle gall ymosodwyr greu negeseuon consensws a'u hanfon at nodau unigol, gan fynd â nhw all-lein.
Ymchwilwyr Halborn, dan arweiniad @buffer_diogel, wedi cod-enwi y bregusrwydd hwn #Rab13au.
- Halborn (@HalbornSecurity) Mawrth 13, 2023
Ychwanegodd y gallai'r negeseuon hyn dros amser ddatgelu'r blockchain i a Ymosodiad 51% lle mae ymosodwr yn rheoli'r rhan fwyaf o'r rhwydwaith cyfradd hash mwyngloddio neu docynnau staked i wneud fersiwn newydd o'r blockchain neu fynd ag ef all-lein.
Byddai gwendidau eraill dim diwrnod y canfuwyd yn caniatáu i ymosodwyr posibl ddamwain nodau blockchain trwy anfon ceisiadau Galwad Gweithdrefn Anghysbell (RPC) — protocol sy'n caniatáu rhaglen i gyfathrebu a gofyn am wasanaethau gan rywun arall.
7/ Yn ail, gall ymosodwyr weithredu cod trwy'r rhyngwyneb cyhoeddus (RPC) fel defnyddiwr nod arferol. Gan fod angen cymhwyster dilys i gyflawni'r ymosodiad, mae'r tebygolrwydd y bydd y camfanteisio hwn yn llai tebygol.
- Halborn (@HalbornSecurity) Mawrth 13, 2023
Ychwanegodd fod y tebygolrwydd o orchestion cysylltiedig â RPC yn is gan fod angen rhinweddau dilys i ymgymryd â'r ymosodiad.
“Oherwydd gwahaniaethau sylfaen cod rhwng y rhwydweithiau nid oes modd manteisio ar yr holl wendidau ar yr holl rwydweithiau, ond efallai y bydd modd ecsbloetio o leiaf un ohonyn nhw ar bob rhwydwaith,” rhybuddiodd Halborn.
Cysylltiedig: Jump Crypto ac Oasis.app 'counter exploits' haciwr Wormhole am $225M
Dywedodd y cwmni ar hyn o bryd nad oedd yn rhyddhau manylion technegol pellach am y campau oherwydd eu difrifoldeb ac ychwanegodd ei fod wedi gwneud “ymdrech ddidwyll” i gysylltu â’r holl bartïon yr effeithir arnynt i ddatgelu’r campau posibl a darparu adferiad ar gyfer y gwendidau.
Mae Dogecoin, Zcash a Litecoin eisoes wedi gweithredu clytiau ar gyfer y gwendidau a ddarganfuwyd, ond gallai cannoedd fod yn agored o hyd yn ôl Halborn.
Ffynhonnell: https://cointelegraph.com/news/more-than-280-blockchains-at-risk-of-zero-day-exploits-warns-security-firm