Bug corrigido da rede Dogecoin ainda está presente em 280 blockchains, afirma empresa de segurança Blockchain
O bug diz respeito à forma como as comunicações peer-to-peer são conduzidas em redes blockchain como Litecoin e Zcash.
Segurança Blockchain Halborn diz que uma vulnerabilidade encontrada no ano passado na base de código de código aberto da rede Dogecoin ainda está presente em pelo menos 280 outras redes, conforme postagem de segunda-feira .
Durante uma avaliação em 2022, os pesquisadores encontraram diversas vulnerabilidades críticas que poderiam ter sido exploradas por invasores para comprometer a rede. Na época, os desenvolvedores do Dogecoin abordaram e resolveram as vulnerabilidades.
No entanto, investigações adicionais de Halborn revelaram que vulnerabilidades semelhantes estavam presentes em diversas outras redes, incluindo Litecoin e Zcash. Isso poderia expor potencialmente mais de US$ 25 bilhões em tokens a possíveis riscos de segurança, disse Halborn.
“Devido às diferenças de base de código entre as redes, nem todas as vulnerabilidades podem ser exploradas em todas as redes, mas pelo menos uma delas pode ser explorada em cada rede”, disse Rob Behnke, CEO da Halborn. "Em redes vulneráveis, uma exploração bem-sucedida da vulnerabilidade relevante pode levar à negação de serviço ou à execução remota de código."
Halborn apelidou a vulnerabilidade de “Rab13s”. Segundo os investigadores, a vulnerabilidade mais crítica encontrada nas redes afetadas diz respeito especificamente à forma como as comunicações peer-to-peer (p2p) são conduzidas nestas redes.
Um invasor pode enviar mensagens de consenso maliciosas para nós individuais da rede, fazendo com que eles sejam desligados e deixando toda a rede vulnerável a ataques de 51% ou outros problemas graves.
Embora algumas das vulnerabilidades tenham sido encontradas anteriormente na rede Bitcoin , Halborn também identificou uma vulnerabilidade de dia zero que estava exclusivamente relacionada ao Dogecoin. Esta vulnerabilidade específica estava relacionada aos serviços de Chamada de Procedimento Remoto (RPC), que poderia permitir que invasores executassem código remotamente e impactassem mineradores individuais.
Enquanto isso, Halborn disse que fez um esforço de boa fé para entrar em contato com as redes afetadas para Aviso Importante responsável. A gravidade das vulnerabilidades do Rab13s, juntamente com a simplicidade dos mecanismos de mensagens p2p, aumenta a probabilidade de ataque.
No entanto, devido à gravidade das vulnerabilidades, Halborn não divulga mais detalhes técnicos ou de exploração neste momento.