Ethereum-розробник Петер Сіладьї розповів про вразливість, за допомогою якої зловмисник міг вивести з ладу мережу Avalanche.
Publishing my #Avalanche vulnerability report from 29th March, 2022 що можна буде бути використано для мережі мережі, що не прибирає.
Це було fixed way back, і з останньою Avalanche hard fork, всі nodes run the patched software.
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
Програміст виявив баг 29 березня. Тоді ж його оперативно виправили запропонованим Силадді патчем.
8 вересня розробник опублікував докладний звіт із дозволу інженера Ava Labs Патріка О’Грейді.
Вразливість була «крах віддаленої ноди через шкідливий пакет PeerList».
Зловмисник міг вибрати два варіанти атаки. В одному випадку зареєструватися як валідатор за 2000 AVAX (~$40 000) і розіслати інфіковані пакети PeerList, які використовуються для мережної взаємодії.
“Оскільки ноди підключаються до всіх валідаторів, це значною мірою миттєва смерть для мережі”, – зазначив Сіладді.
Ціну атаки він назвав «прийнятною». На його думку, ставка на падіння токена принесла б зловмиснику «приємний прибуток». У довгостроковій перспективі цінність вкладених коштів не страждає, оскільки блокчейн «все одно відновиться за кілька годин», додав Сіладьї.
Другим варіантом для атакуючого було безкоштовно зареєструвати «невалідаторську» ноду для розсилки шкідливих пакетів. Однак у цьому випадку зупинка мережі вимагала б більше часу, уточнив програміст.
“Avalanche дуже спокійно ставиться до мережевих підключень, які встановлює, і навіть одного з них достатньо, щоб відключити ноду”, – заявив розробник.
Нагадаємо, у березні президент Ava Labs Джон Ву відмовився. назвати Avalanche конкурентом Ethereum.
Знайшли помилку у тексті? Виділіть її та натисніть CTRL+ENTER
[ad_2]
Source link
