Уязвимость Avalanche могла полностью отключить сеть
Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.
Publishing my #Avalanche vulnerability report from 29th March, 2022 that could have been used to take the entire network down at no cost.
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
The issue was fixed way back, and with the latest Avalanche hard fork, all nodes run the patched software.
Njoy :)https://t.co/nokedKF7IZ
Программист обнаружил баг 29 марта. Тогда же его оперативно исправили предложенным Силадьи патчем.
8 сентября разработчик опубликовал подробный отчет с разрешения инженера Ava Labs Патрика О’Грейди.
Уязвимость представляла собой «крах удаленной ноды из-за вредоносного пакета PeerList».
Злоумышленник мог выбрать два варианта атаки. В одном случае зарегистрироваться в качестве валидатора за 2000 AVAX (~$40 000) и разослать инфицированные пакеты PeerList, которые используются для сетевого взаимодействия.
Цену атаки он назвал «приемлемой». По его мнению, ставка на падение токена принесла бы злоумышленнику «приятную прибыль». В долгосрочной перспективе ценность вложенных средств не страдает, поскольку блокчейн «все равно восстановится через несколько часов», добавил Силадьи.
Вторым вариантом для атакующего было бесплатно зарегистрировать «невалидаторскую» ноду для рассылки вредоносных пакетов. Однако в этом случае остановка сети потребовала бы больше времени, уточнил программист.
Источник: cryptocurrency.tech