ruxus – Вразливість в Avalanche загрожувала повним відключенням мережі

39

Ethereum-розробник Петер Сіладьї розповів про вразливість, за допомогою якої зловмисник міг вивести з ладу мережу Avalanche.

Програміст виявив баг 29 березня. Тоді ж його оперативно виправили запропонованим Силадді патчем.

8 вересня розробник опублікував докладний звіт із дозволу інженера Ava Labs Патріка О’Грейді.

Вразливість була «крах віддаленої ноди через шкідливий пакет PeerList».

Зловмисник міг вибрати два варіанти атаки. В одному випадку зареєструватися як валідатор за 2000 AVAX (~$40 000) і розіслати інфіковані пакети PeerList, які використовуються для мережної взаємодії.

“Оскільки ноди підключаються до всіх валідаторів, це значною мірою миттєва смерть для мережі”, – зазначив Сіладді.

Ціну атаки він назвав «прийнятною». На його думку, ставка на падіння токена принесла б зловмиснику «приємний прибуток». У довгостроковій перспективі цінність вкладених коштів не страждає, оскільки блокчейн «все одно відновиться за кілька годин», додав Сіладьї.

Другим варіантом для атакуючого було безкоштовно зареєструвати «невалідаторську» ноду для розсилки шкідливих пакетів. Однак у цьому випадку зупинка мережі вимагала б більше часу, уточнив програміст.

“Avalanche дуже спокійно ставиться до мережевих підключень, які встановлює, і навіть одного з них достатньо, щоб відключити ноду”, – заявив розробник.

Нагадаємо, у березні президент Ava Labs Джон Ву відмовився. назвати Avalanche конкурентом Ethereum.

Знайшли помилку у тексті? Виділіть її та натисніть CTRL+ENTER





Source link