PANews 3月14日消息,區塊鏈安全公司Halborn發文表示,2022年3月,Halborn受聘評估Dogecoin開源代碼庫是否存在任何可能影響區塊鏈安全的漏洞。在此評估期間,Halborn發現了幾個嚴重且可利用的漏洞,並已由Dogecoin團隊修復。然而,經過更廣泛的審查後,Halborn確定同樣的漏洞影響了280多個其他網絡,包括Litecoin和Zcash,使超過250億美元的數字資產面臨風險。 Halborn將此漏洞代號定為Rab13s。
Rab13s漏洞是在受影響網絡的p2p消息傳遞機制中發現的,由於其簡單性,它們增加了攻擊的可能性。利用此漏洞,攻擊者可以向各個節點發送精心製作的惡意共識消息,導致每個節點關閉並最終使網絡面臨51%攻擊和其他嚴重問題等風險。 RPC服務中的第二個漏洞允許攻擊者通過RPC請求使節點崩潰。然而,成功的利用需要有效的憑據,這降低了整個網絡面臨風險的可能性,因為一些節點執行了停止命令。第三個漏洞允許攻擊者在用戶通過RPC運行節點的上下文中執行代碼。但是,這種利用的可能性較低,因為它需要有效的憑據才能執行攻擊。
Halborn表示其已為Rab13s開發了一個漏洞利用工具包,其中包括帶有可配置參數的概念證明,以演示對不同網絡的攻擊。所有必要的技術信息都已與確定的利益相關者共享,以幫助他們修復錯誤,並為社區和礦工發布必要的補丁。對於使用基於UTXO 的節點(例如狗狗幣)的項目,建議將所有節點升級到最新版本(1.14.6)。由於問題的嚴重性,Halborn目前不會發布更多技術或漏洞利用細節。
