Un gruppo di quattro scienziati dell’Università dell’Illinois a Urbana-Champaign, negli USA, ha scoperto due falle di sicurezza che hanno un impatto 26 (Proof-of-Stake, PoS) cryptocurrencies.
Le due falle di sicurezza, i ricercatori hanno detto, “consentono una rete attaccante con una quantità molto piccola di palo crash qualsiasi dei nodi della rete in esecuzione il software corrispondente.”
Le vulnerabilità sono estremamente pericolosi perché possono consentire a un utente malintenzionato di crash rivale nodi della rete per ottenere un 51 per cento di maggioranza per il suo server malevoli e di essere in grado di controllare una valuta tutta la blockchain operazioni, una condizione che potrebbe favorire operazioni fraudolente e il furto di utente fondi.
Ricercatori hanno spiegato le loro scoperte in un Mezzo blog post pubblicato ieri, 22 gennaio. Il primo dei due vulnerabilità è stato spiegato in modo più dettagliato in un documento di ricerca che l’Università di Illinois team di piani di presentare alla Finanziaria Crittografia 2019 conferenza il mese prossimo.
“Molti cryptocurrencies sono infatti le forcelle (o almeno discendenti) di Bitcoin è codebase, con la funzionalità PoS innestati,” i ricercatori ha scritto sul Medio. “Tuttavia, alcune idee di design sono copiati in modo non sicuro, che porta a nuove vulnerabilità che non esiste il genitore codebase.”
“Abbiamo chiamato la vulnerabilità abbiamo trovato ‘Falso Palo attacchi,” i ricercatori hanno detto. “Essenzialmente, funzionano perché PoSv3 implementazioni non sono sufficienti a convalidare i dati di rete prima di impegnare risorse preziose (disco e RAM).”
“La conseguenza è che un hacker senza molto palo (in alcuni casi anche nessuno) può causare una vittima nodo crash e il riempimento disco o RAM con dati fasulli.”
Il ricercatore”, dice il team ha scoperto che i due problemi lo scorso agosto e ha iniziato a contattare interessato cryptocurrencies nel mese di ottobre. Alcuni cryptocurrency dev team non erano informati, perché il loro account di GitHub sembrava essere diventato inattivo.
Un elenco di impatto cryptocurrencies è disponibile di seguito, disponibile anche online, qui.
StratisX è elencato nella tabella, ma con il tempo, i ricercatori hanno pubblicato i loro lavori, il cryptocurrency passa dal vulnerabili C++ codebase di un nuovo C# porta che non era vulnerabile al Falso Palo attacchi.
La maggior parte delle persone vulnerabili cryptocurrencies sono di fascia bassa valute virtuali, con Qtum essere il più alto in classifica CoinMarketCap indice, in posizione #30.
Alcuni cryptocurrencies distribuito attenuazioni, ma il team di ricerca non sembra essere soddisfatto con il modo in cui alcuni dev team patchato il bug segnalati.
“Tutti questi fattori attenuanti per rendere l’attacco, difficile da realizzare, ma sono ancora nessun sostituto per la convalida,” hanno detto.
Codice Demo per la riproduzione di due vulnerabilità è disponibile su GitHub, nel caso in cui gli sviluppatori di altri PoS basati su cryptocurrencies vogliono testare il proprio codice per Falso Palo attacchi.
Più copertura di sicurezza:
Il DHS problemi di sicurezza di allarme sui recenti DNS hijacking attacksTemporary fix disponibile per uno dei due Windows zero-giorni rilasciato in DecemberMystery ancora circonda hack di PHP PERA websiteWebsites in grado di rubare i dati del browser tramite estensioni Api
I ricercatori di sicurezza di prendere giù di 100.000 siti di malware nel corso degli ultimi dieci monthsPopular plugin per WordPress hacked arrabbiati, ex employeeApple di ospitare 2.000 gratis codifica lezioni presso negozi Europei CNET
Il 62% dei siti Internet esegui una nuova versione di PHP in 10 settimane TechRepublic
Argomenti Correlati:
Blockchain
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati