En grupp av fyra forskare från University of Illinois at Urbana-Champaign i USA har upptäckt två säkerhetsbrister som påverkar 26 (Proof-of-Spel, PoS) cryptocurrencies.
De två säkerhetsbrister, forskarna sade, “tillåt ett nätverk angripare med en mycket liten mängd av en insats för att krascha någon av nätverkets noder som kör motsvarande programvara.”
Sårbarheter är extremt farliga eftersom de kan tillåta en angripare att krascha konkurrerande nät, noder för att få en 51 procents majoritet för sin egen skadliga servrar och vara i en position att styra en valuta hela blockchain transaktioner, en stat som kunde gynna olaglig verksamhet och stöld av användaren medel.
Forskarna förklarade sina resultat i en Medelstor blogginlägg som publicerades i går, den 22 januari. Den första av de två sårbarheter har förklarats i finare detalj i en uppsats som University of Illinois team planerar att lägga fram i den Finansiella Kryptografi 2019 konferens nästa månad.
“Många cryptocurrencies är i själva verket gafflar (eller åtminstone ättlingar) av Bitcoin kodbasen, med PoS funktionalitet ympat in,” forskarna skrev på medelvärme. “Men några idéer design kopieras över på ett osäkert sätt, vilket leder till nya problem som inte finns i den överordnade kodbasen.”
“Vi kallar den sårbarhet vi finns “Falska Insats” – attacker,” forskarna säger. “I grunden fungerar de på grund PoSv3 implementeringar inte tillräckligt validera data nätverk innan de bestämmer sig värdefulla resurser (disk och RAM).”
“Följden är att en angripare utan större insats (i vissa fall ingen alls) kan orsaka ett offer nod att krascha genom att fylla upp sin hårddisk eller RAM-minne med falska uppgifter.”
Forskaren team säger att det upptäckte två problem som i augusti förra året och började kontakta påverkas cryptocurrencies i oktober. Vissa cryptocurrency dev team var inte underrättade på grund av att deras GitHub-konto verkade ha blivit inaktiv.
En lista över påverkat cryptocurrencies finns nedan, som också finns på nätet, här.
StratisX anges i tabellen, men med den tid som forskare publicerade sitt arbete, cryptocurrency bytte från den utsatta C++ kodbasen till en ny C# port som inte var utsatta för Falska Spel attacker.
De flesta av de utsatta cryptocurrencies är low-end virtuella valutor, med Qtum att vara högst rankad på CoinMarketCap index, på position #30.
Vissa cryptocurrencies utplacerade begränsande faktorer, men den forskning som grupp inte verkar vara nöjda med hur vissa dev team lappat rapporterade buggar.
“Alla dessa åtgärder göra attacken svårt att genomföra men är fortfarande ingen ersättning för fullständig validering”, sade de.
Demo-koden för att återge de två sårbarheter är tillgänglig på GitHub, i fall den för utvecklare av andra PoS-baserade cryptocurrencies vill testa sin kod för Falska Spel attacker.
Mer trygghet:
DHS frågor säkerhetsvarning om aktuella DNS-kapning attacksTemporary fixa tillgängliga för en av de två Fönstren noll-dagar släpptes i DecemberMystery fortfarande omger hack av PHP PÄRON websiteWebsites kan stjäla data i webbläsaren via tillägg Api: er
Säkerhet forskare ta ner 100,000 skadliga webbplatser under de senaste tio monthsPopular WordPress plugin hackad av arga tidigare employeeApple att vara värd 2.000 gratis kodning lektioner på Europeiska butiker CNET
62% av alla Internet-webbplatser kommer att köra en PHP-version som inte stöds i 10 veckor TechRepublic
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter