ChainCatcher 消息,區塊鏈安全公司Halborn 發文表示,2022 年3 月Halborn 受聘評估Dogecoin 開源代碼庫是否存在任何可能影響區塊鏈安全的漏洞,在此評估期間Halborn 發現了幾個嚴重且可利用的漏洞,並已由Dogecoin 團隊修復。然而經過更廣泛的審查後,Halborn 確定同樣的漏洞影響了280 多個其他網絡,包括Litecoin 和Zcash,使超過250 億美元的數字資產面臨風險,Halborn 將此漏洞代號定為“Rab13s”。 Rab13s 漏洞是在受影響網絡的P2P 消息傳遞機制中發現的,利用此漏洞,攻擊者可以向各個節點發送精心製作的惡意共識消息,導致每個節點關閉並最終使網絡面臨51% 攻擊和其他嚴重問題等風險。 RPC 服務中的第二個漏洞允許攻擊者通過RPC 請求使節點崩潰。然而成功的利用需要有效的憑據,這降低了整個網絡面臨風險的可能性,因為一些節點執行了停止命令。第三個漏洞允許攻擊者在用戶通過RPC 運行節點的上下文中執行代碼。但是這種利用的可能性較低,因為它需要有效的憑據才能執行攻擊。 Halborn 表示其已為Rab13s 開發了一個漏洞利用工具包,其中包括帶有可配置參數的概念證明,以演示對不同網絡的攻擊。所有必要的技術信息都已與確定的利益相關者共享,以幫助他們修復錯誤,並為社區和礦工發布必要的補丁。對於使用基於UTXO 的節點(例如狗狗幣)的項目,建議將所有節點升級到最新版本(1.14.6)。由於問題的嚴重性,Halborn 目前不會發布更多技術或漏洞利用細節。 (來源鏈接)
dark