「ForesightNews」安全公司Halborn发现影响狗狗币、莱特币、Zcash等280多个网络的零日漏洞

「ForesightNews」区块链安全公司Halborn表示，2022年3月，Halborn被聘请评估Dogecoin开源代码库是否存在任何可能影响区块链安全的漏洞。在此评估期间，Halborn发现了几个严重且可用的漏洞，并由Dogecoin团队修复。然而，经过更广泛的审查，Halborn确认同样的漏洞影响了280多个其他网络，包括Litecoin和Zcash，这使得超过250亿美元的数字资产面临风险。Halborn将这个漏洞代号定为Rab13s。Rab13s漏洞是在受影响网络的P2P信息传输机制中发现的。利用这个漏洞，攻击者可以将精心制作的恶意共识信息发送到每个节点，导致每个节点关闭，最终使网络面临51%的攻击等严重问题。RPC服务中的第二个漏洞允许攻击者通过RPC请求崩溃节点。然而，由于一些节点执行了停止命令，因此成功使用需要有效的证据，这降低了整个网络面临风险的可能性。第三个漏洞允许攻击者在用户通过RPC操作节点的上下文中执行代码。但这种使用的可能性较低，因为它需要有效的证据来执行攻击。Halborn表示，它已经为Rab13s开发了一个漏洞使用工具包，包括可配置参数的概念证明，以示对不同网络的攻击。所有必要的技术信息都与确定的利益相关者共享，以帮助他们修复错误，并向社区和矿工发布必要的补丁。对于基于UTXO的节点(如狗币)项目，建议将所有节点升级到最新版本(1.14.6)。由于问题的严重性，Halborn不会发布更多的技术或漏洞使用细节。