Firma Keamanan Halborn Menemukan Kerentanan Zero-Day yang Mempengaruhi Dogecoin, Litecoin, Zcash, dan Lainnya Jaringan 280

Halborn, sebuah perusahaan keamanan blockchain, mengeluarkan dokumen yang mengatakan bahwa pada Maret 2022, Halborn dipekerjakan untuk menilai apakah ada kerentanan dalam basis kode sumber terbuka Dogecoin yang dapat memengaruhi keamanan blockchain. Diperbaiki oleh tim Dogecoin. Namun, setelah peninjauan yang lebih luas, Halborn menentukan bahwa kerentanan yang sama, yang diberi nama sandi Halborn Rab13s, memengaruhi lebih dari 280 jaringan lain, termasuk Litecoin dan Zcash, menempatkan lebih dari $25 miliar aset digital dalam risiko. Kerentanan Rab13s, yang ditemukan dalam mekanisme perpesanan P2P dari jaringan yang terpengaruh, dapat memungkinkan penyerang mengirim pesan konsensus yang dibuat secara jahat ke masing-masing node, menyebabkan setiap node mati dan pada akhirnya membuat jaringan terkena 51% serangan dan ancaman serius lainnya. dan risiko lainnya. Kerentanan kedua dalam layanan RPC dapat memungkinkan penyerang merusak node melalui permintaan RPC. Namun, eksploitasi yang berhasil memerlukan kredensial yang valid, yang mengurangi kemungkinan seluruh jaringan berisiko karena beberapa node menjalankan perintah berhenti. Kerentanan ketiga memungkinkan penyerang mengeksekusi kode dalam konteks pengguna yang menjalankan node melalui RPC. Tapi eksploit ini kecil kemungkinannya karena memerlukan kredensial yang valid untuk melakukan serangan. Halborn mengatakan telah mengembangkan kit eksploit untuk Rab13 yang menyertakan bukti konsep dengan parameter yang dapat dikonfigurasi untuk mendemonstrasikan serangan pada jaringan yang berbeda. Semua informasi teknis yang diperlukan telah dibagikan dengan pemangku kepentingan yang teridentifikasi untuk membantu mereka memperbaiki bug dan merilis tambalan yang diperlukan untuk komunitas dan penambang. Untuk proyek yang menggunakan node berbasis UTXO (seperti Dogecoin), disarankan untuk memutakhirkan semua node ke versi terbaru (1.14.6). Karena beratnya masalah ini, Halborn tidak akan merilis detail teknis atau eksploit lebih lanjut untuk saat ini.