En gruppe af fire forskere fra University of Illinois i Urbana-Champaign i USA har opdaget to sikkerhedshuller, der har indflydelse 26 (Proof-of-Spil, PoS) lad os starte.
De to sikkerhedshuller, forskere sagde, “at tillade et netværk angriber med en meget lille mængde af spil til at gå ned nogen af netværkets knudepunkter kører den tilsvarende software.”
De sårbarheder der er ekstremt farlige, fordi de kan give en hacker mulighed for at gå ned rival netværk noder for at få 51% flertal for sin egen ondsindede servere og være i stand til at styre en valuta er hele blokkæden transaktioner, en stat, der kunne fordel svigagtige transaktioner og tyveri af brugernes midler.
Forskere forklarede deres resultater i et Medium, blog-indlæg, der blev offentliggjort i går, januar 22. Den første af de to sårbarheder er blevet forklaret i de finere detaljer i et forsknings-papir, at University of Illinois team planer til stede på de Finansielle Kryptografi 2019 konference næste måned.
“Der er mange, lad os starte er i virkeligheden gafler (eller i det mindste efterkommere) af Bitcoin’ s codebase, med PoS funktionalitet podet i,” de forskere, der skrev på Medium. “Men nogle design-idéer, der er kopieret over på en usikker måde, hvilket fører til nye sårbarheder, der ikke findes i den overordnede codebase.”
“Vi kalder de sårbarheder vi fandt, at “Falsk Spil” – angreb,” siger forskerne. “Det væsentlige, de virker, fordi PoSv3 implementeringer ikke i tilstrækkelig grad validere netværk data, før at forpligte sig værdifulde ressourcer (disk og RAM).”
“Konsekvensen er, at en angriber uden megen indsats (i nogle tilfælde slet ingen) kan forårsage et offer node til at gå ned ved at fylde sin disk eller RAM med falske data.”
Forskeren team siger, at det opdagede de to spørgsmål, der i August sidste år, og begyndte at kontakte påvirket lad os starte i oktober. Nogle cryptocurrency dev teams ikke var informeret om, fordi deres GitHub konto syntes at være blevet inaktive.
En liste over påvirket lad os starte er tilgængelige nedenfor, findes også online, her.
StratisX er anført i tabellen, men med den tid, forskere offentliggjorde deres arbejde, cryptocurrency skiftet fra sårbare C++ codebase til et nyt C# port, der var ikke sårbare over for den Falske Spil angreb.
De fleste af de sårbare lad os starte er low-end virtuelle valutaer, med Qtum bliver den højest rangerede på CoinMarketCap indeks, på position #30.
Lad os starte nogle indsat afhjælpninger, men forskerholdet synes ikke at være tilfredse med den måde, nogle dev teams lappet de rapporterede fejl.
“Alle disse afhjælpninger gøre angreb vanskeligt at gennemføre, men der er stadig ingen erstatning for fuld validering,” sagde de.
Demo kode for at gengive de to sårbarheder er tilgængelig på GitHub, i tilfælde af at udviklerne af andre PoS-baseret lad os starte ønsker at teste deres kode for Falske Spil angreb så godt.
Mere sikkerhed dækning:
DHS spørgsmål sikkerhedsadvarsel om de seneste DNS kapring attacksTemporary fix rådighed for den ene af de to Windows nul-dage udgivet i DecemberMystery stadig omgiver hack af PHP PEAR-websiteWebsites kan stjæle browser data via udvidelser Api ‘ er
Sikkerhed forskere tage ned 100,000 malware sites i løbet af de sidste ti monthsPopular WordPress plugin hacket af vrede tidligere employeeApple til at være vært for 2.000 gratis kodning undervisning i Europæiske butikker CNET
62% af alle websteder på Internettet vil køre en ikke-understøttet version af PHP i 10 uger TechRepublic
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre