Разработчик раскрыл подробности исправленной уязвимости в сети Avalanche

Проблема, обнаруженная в марте текущего года, могла полностью отключить блокчейн

09.09.2022 - 12:45

584

2 мин

Что произошло? Разработчик Петер Силадьи опубликовал отчет об уязвимости в сети Avalanche. Проблема была выявлена 29 марта 2022 года и грозила полным отключением блокчейна за 2000 AVAX (~$40 200 по актуальному курсу). Силадьи обнаружил баг и предложил патч для его устранения. Проблема была исправлена в тот же день с помощью этого патча. С последним хардфорком Avalanche все узлы работают с исправленным программным обеспечением. Специалист поделился подробной информацией с разрешения инженера компании Ava Labs Патрика О’Грейди.

Ссылка на GitHub

Подробнее о баге. Такой баг назвали «крахом удаленной ноды из-за вредоносного пакета PeerList». У хакера было два варианта для атаки. Первый заключался в запуске невалидаторного узла для передачи вредоносных пакетов. Силадьи отметил, что такой банальный вариант занял бы больше времени для отключения сети.

Согласно второму варианту, злоумышленник мог зарегистрироваться в качестве нового валидатора и за 2000 AVAX разослать инфицированные пакеты, которые используются для сетевого взаимодействия. Силадьи назвал цену приемлемой, поскольку такой выбор принес бы хакеру «приятную прибыль». Эксперт также отметил, что при таком раскладе сеть восстановилась бы через несколько часов.

7 сентября децентрализованная платформа Nereus Finance подверглась взлому, в результате которого хакеры вывели $370 000 в стейблкоинах USDC. Атака была совершена с помощью мгновенных займов и манипулирования ценой токенов AVAX.

В июне криптокошельки MetaMask и Phantom устранили критическую уязвимость в расширении браузера. Баг, обнаруженный компанией Halborn еще в сентябре 2021 года, позволял хакерам извлекать seed-фразы из компьютеров пользователей.

Автор: