Чтобы снизить стоимость набора, преобладающего хешрейта, хакеры могут использовать «старую» уязвимость CVE-2018-17144, которая позволяет инициировать отказ в обслуживании нод.
Разработчики Bitcoin Core давно решили эту проблему в новых версиях программы-клиента, но 58% полных узлов, продолжают игнорировать обновления и пользуются старой, уязвимой программой. Теоретически, хакерам достаточно набрать 23% хешрейта и отключить остальные ноды от сети.
Люк Даш-младший раскрыл баг в попытке заставить владельцев нод не игнорировать апгрейд и вовремя устанавливать обновление, набор даже 23% добывающих мощностей и реализация атаки CVE-2018-17144, достаточно дорогое удовольствие, тогда как для 51% атаки на сеть Tron с $1,5 млрд капитализацией было достаточно одного компьютера.
Информацию об этом без подробностей, опубликовал портал HakerOne, раскрыв случай вознаграждения «белых хакеров» фондом Tron Foundation. Компания заплатила $1500 за раскрытия бага, запускающего с одного компьютера, вредоносный код, заражающий множество смарт-контрактов сети, заставляя их «забивать» все вычислительные ресурсы DDos-атакой.
Издание The Next Web сообщает о еще одном вознаграждении «белых хакеров» от Tron Foundation в размере $3100. В этом случае компания наотрез отказалась сообщать подробности бага, «зашифровав» получателя премии.
Под угрозой возможной атаки хакеров оказалась система голосования MakerDAO, баг выявил аудит Coinbase и Zeppelin. Используемая для управления эмиссией стаблкоина DAI. Стабильность курса поддерживается инфляционной моделью, вопрос по увеличению или снижению эмиссии решается голосованием, в ходе которого на адресах блокируются токена MKR.
Уязвимость позволяла злоумышленникам управлять голосами, удаляя их или блокируя часть желающих принять участие в решении об эмиссии. Скомпрометировано 190 адресов, пользователям предложено срочно вывести MKR, сам баг устранен.