Вы здесь

Обнаружены уязвимости кода: Bitcoin, Tron и MakerDAO

Разработчик Bitcoin Core Люк Даш-младший (Luke Dashjr) раскрыл сценарий возможной уязвимости 58% узлов основной криптовалюты. Несмотря на широкую децентрализацию блокчейна, поддерживаемую сетью из 100 тысяч полных нод, атака 51% на Bitcoin может оказаться не такой уж дорогой финансовом плане.

Чтобы снизить стоимость набора, преобладающего хешрейта, хакеры могут использовать «старую» уязвимость CVE-2018-17144, которая позволяет инициировать отказ в обслуживании нод.

Разработчики Bitcoin Core давно решили эту проблему в новых версиях программы-клиента, но 58% полных узлов, продолжают игнорировать обновления и пользуются старой, уязвимой программой. Теоретически, хакерам достаточно набрать 23% хешрейта и отключить остальные ноды от сети.

Люк Даш-младший раскрыл баг в попытке заставить владельцев нод не игнорировать апгрейд и вовремя устанавливать обновление, набор даже 23% добывающих мощностей и реализация атаки CVE-2018-17144, достаточно дорогое удовольствие, тогда как для 51% атаки на сеть Tron с $1,5 млрд капитализацией было достаточно одного компьютера.

Информацию об этом без подробностей, опубликовал портал HakerOne, раскрыв случай вознаграждения «белых хакеров» фондом Tron Foundation. Компания заплатила $1500 за раскрытия бага, запускающего с одного компьютера, вредоносный код, заражающий множество смарт-контрактов сети, заставляя их «забивать» все вычислительные ресурсы DDos-атакой.
Издание The Next Web сообщает о еще одном вознаграждении «белых хакеров» от Tron Foundation в размере $3100. В этом случае компания наотрез отказалась сообщать подробности бага, «зашифровав» получателя премии.

Под угрозой возможной атаки хакеров оказалась система голосования MakerDAO, баг выявил аудит Coinbase и Zeppelin. Используемая для управления эмиссией стаблкоина DAI. Стабильность курса поддерживается инфляционной моделью, вопрос по увеличению или снижению эмиссии решается голосованием, в ходе которого на адресах блокируются токена MKR.

Уязвимость позволяла злоумышленникам управлять голосами, удаляя их или блокируя часть желающих принять участие в решении об эмиссии. Скомпрометировано 190 адресов, пользователям предложено срочно вывести MKR, сам баг устранен.

328 / 0
Аватар пользователя Иван Петров
Публикацию добавил: Иван Петров
Дата публикации: вт, 05/07/2019 - 09:45

Добавить комментарий