블록체인 보안 회사인 Halborn은 Litecoin(LTC) 및 Zcash(ZEC)를 포함하여 280개 이상의 네트워크에 영향을 미치는 몇 가지 중요하고 악용 가능한 취약점을 감지했습니다. 코드명 "Rab13s"라는 이 취약점은 25억 달러 이상의 디지털 자산을 위험에 빠뜨렸습니다.
이것은 XNUMX년 전 Dogecoin 네트워크에서 처음 발견되었으며, 그 후 프리미어 memecoin 팀에 의해 수정되었습니다.
51% 공격 및 기타 문제
공식 블로그 게시물에 따르면 Holborn 연구원은 P2P(Peer-to-Peer) 통신과 관련된 가장 심각한 취약점을 발견했습니다. 이 취약점을 악용하면 공격자가 합의 메시지를 작성하여 개별 노드로 보내고 오프라인으로 전환할 수 있습니다. 결국 이러한 위협은 네트워크를 51% 공격 및 기타 심각한 문제와 같은 위험에 노출시킬 수도 있습니다.
“공격자는 getaddr 메시지를 사용하여 네트워크 피어를 크롤링하고 패치되지 않은 노드를 공격할 수 있습니다.”
이 회사는 개별 채굴자에게 영향을 미치는 RPC(원격 절차 호출) 원격 코드 실행 취약점을 포함하여 Dogecoin과 고유하게 관련된 또 다른 제로데이를 식별했습니다.
이러한 제로데이의 변형은 Litecoin 및 Zcash와 같은 유사한 블록체인 네트워크에서도 발견되었습니다. 네트워크 간 코드베이스의 차이로 인해 본질적으로 모든 버그를 악용할 수 있는 것은 아니지만 각 네트워크의 공격자가 그 중 적어도 하나를 악용할 수 있습니다.
취약한 네트워크의 경우 해당 취약점을 성공적으로 악용하면 서비스 거부 또는 원격 코드 실행으로 이어질 수 있다고 Halborn은 말했습니다.
보안 플랫폼은 이러한 Rab13s 취약점의 단순성이 공격 가능성을 높인다고 생각합니다.
추가 조사를 통해 Halborn 연구원은 RPC 서비스에서 공격자가 RPC 요청을 통해 노드를 충돌시킬 수 있는 두 번째 취약점을 발견했습니다. 그러나 성공적인 악용에는 유효한 자격 증명이 필요합니다. 이렇게 하면 일부 노드가 중지 명령을 구현하기 때문에 전체 네트워크가 위험에 처할 가능성이 줄어듭니다.
반면 세 번째 취약점은 악의적인 개체가 공용 인터페이스(RPC)를 통해 노드를 실행하는 사용자의 컨텍스트에서 코드를 실행할 수 있도록 합니다. 성공적인 공격을 수행하려면 유효한 자격 증명이 필요하기 때문에 이 익스플로잇의 가능성도 낮습니다.
버그 익스플로잇
한편, 다른 다양한 네트워크에 대한 공격을 시연하기 위해 구성 가능한 매개 변수가 있는 개념 증명을 포함하는 Rab13s용 익스플로잇 키트가 개발되었습니다.
Halborn은 식별된 이해 관계자와 필요한 모든 기술적 세부 정보를 공유하여 그들이 버그를 수정하고 커뮤니티 및 채굴자를 위한 관련 패치를 릴리스하는 것을 확인했습니다.
바이낸스 무료 $100(독점): 이 링크를 사용하여 등록하고 바이낸스 선물 첫 달에 $100 무료 및 10% 할인 수수료를 받으세요 (자귀).
PrimeXBT 특별 제공: 이 링크를 사용하여 POTATO50 코드를 등록하고 입력하면 최대 $7,000의 보증금을 받을 수 있습니다.
출처: https://cryptopotato.com/critical-bug-impacting-litecoin-zcash-dogecoin-and-other-networks-identified-research/