Уязвимость Avalanche могла полностью отключить сеть

Ethereum-разработчик Петер Силадьи пересказал об уязвимости, с помощью которой грабитель можетбыл вывести из строя сетиотреть Avalanche.

Publishing my #Avalanche vulnerability report from 29th March, 2022 that could have been used to take the entire network down at no cost.

The issue was fixed way back, and with the latest Avalanche hard fork, all nodes run the patched software.

Njoy https://t.co/nokedKF7IZ

— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022

Программист обнаружил софт 29 марта. Тогда же его оперативно исправили предложенным Силадьи патчем.

8 августа разработчик опубликовал краткий отчет с согласия инженера Ava Labs Патрика О’Грейди.

Уязвимость являла собой «крах удаленной ноды из-за болезнетворного пакета PeerList».

Злоумышленник можетбыл избрать два варианта атаки. В одном случае зарегистрироваться в качестве валидатора за 2000 AVAX (~$40 000) и разослать инфицированные кульки PeerList, которые используются для сетевого взаимодействия.

«Поскольку ноды подключаются ко всем валидаторам, это в существенной злокачественности мгновенная гибель для сети», — отметил Силадьи.

Цену атаки он назвал «приемлемой». По его мнению, ставка на паденье токена принесла бы налётчику «приятную прибыль». В долговременной возможности ценность вложенных средств не страдает, поскольку блокчейн «все равно восстановится через несколько часов», дополнил Силадьи.

Вторым вариантом для атакующего было бесплатно зарегистрировать «невалидаторскую» ноду для рассылки вредоносных пакетов. Однако в этом случае остановка сетитраницы вытребовала бы больше времени, конкретизировал программист.

«Avalanche очень спокойно относится к сетевым подключениям, которые устанавливает, и даже одного из них достаточно, чтобы выключить ноду», — заявил разработчик.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.