Bezpečnostní firma Halborn, specializující se na audit kódů u kryptoměn, upozornila na kritické chyby v kódu, jež jsou přítomny u více než 280 různých kryptoměn. Podle této kybernetické firmy je ohroženo nejméně 25 miliard dolarů v kryptoměnách. Firma to uvedla v příspěvku na svém blogu 13. března 2023 a soubor zjištěných zranitelností nazvala “Rab13s”. Firma zároveň dodala, že s některými kryptoměnami, jako jsou Dogecoin, Litecoin či Zcash, již na odstranění těchto kritických chyb pracovali. Na chyby se přišlo během auditu kódu Dogecoinu v minulém roce. Audit si objednal sám tvůrce Dogecoinu.
Podobné chyby obsahuje kód více než 280 kryptoměn
V rámci auditu kódu Dogecoinu se následně firma vydala cestou kontroly ostatních kryptoměn s podobným kódem. Během svého zkoumání firma vymezila tři největší zranitelnosti v kódu.
Tou nejkritičtější je chyba, která umožňuje útočníkovi odesílat zmanipulované peer-to-peer zprávy na jednotlivé uzly a tím je postupně vypnout. Kvůli této chybě může získat útočník krátkodobou kontrolu nad celou sítí, protože by byl schopen vypnout velkou část uzlů v síti. V takovém případě by útočník mohl časem vystavit blockchain 51% útoku a ovládat většinu těžební síly nebo tokenů sítě. Útočník by následně mohl vytvořit hard fork celé kryptoměny a původní
blockchain úplně vypnout. Jedná se o závažnou chybu, která by mohla zapříčinit úplné vypnutí blockchainu a ztrátu všech prostředků.
https://twitter.com/HalbornSecurity/status/1635262272837746688
Zatímco některé objevené chyby jsou dobře známé z dřívějších auditů kódu Bitcoinu, jiné se vztahují přímo k Dogecoinu a jemu podobných kryptoměn. Jednou ze zranitelných částí kódu je například Remote Procedure Call funkce, která povoluje spouštět částí kódu třetích stran vzdáleně. Pomocí této chyby může útočník napadnout ostatní těžaře v síti. R
ůzné varianty tohoto problému byly následně objeveny také u Litecoinu a Zcash. Kvůli malým rozdílům v kódu nelze jeden připravený útok aplikovat na všechny zmíněné blockchainy. S malými úpravami by ale útočník mohl využít této slabosti postupně na řadě kryptoměn. Všechny výše zmíněné kryptoměny již učinily opatření proti těmto útokům a bezpečnostní firma se rozhodla je jmenovat. Ostatní kryptoměny, které doposud chyby neopravily, zůstávají z bezpečnostních důvodů neznámé. Firma ale uvádí, že jich objevila přes 200.
Jedná se o náročné programátorské operace
Třetí velkou chybou je opět možnost spuštění cizího kódu na jiných zařízení. Tato zranitelnost umožňuje útočník spustit kód v rozhraní uživatele, který provozuje uzel. Tento útok ale vyžaduje platné přihlášení k uzlu a dá se tedy předpokládat, že nebude hackery použit. To ale nemění nic na tom, že některé kryptoměny obsahují chyby, které dovolují spouštět škodlivý kód vzdáleně na uzlu uživatele.
Firma nadále uvedla, že nechce zveřejňovat technické podrobnosti, aby neusnadnila útočníkům práci. Zároveň ale dodává, že se snažila kontaktovat všechny vývojáře kryptoměn, u kterých objevila chybu. Vývojáři kryptoměn
Dogecoin, Litecoin a Zcash začali ihned s firmou spolupracovat a všechny uvedené chyby, ve spolupráci s odborníky z Halborn, odstranili.
https://twitter.com/HalbornSecurity/status/1635262287580676098
Přestože kryptoměn s chybným kódem je opravdu velké množství, nejedná se o snadný útok. K získání kontroly nad sítí musí mít útočník velmi dobré znalosti blockchainu a programování a musí disponovat velkou výpočetní silou. Některé kryptoměny navíc nemají tak velkou uživatelskou základnu a kapitalizaci, aby se útočníkům vyplatilo na jejich blockchain a těžařskou síť útočit.
Auditorská firma také dodala, že některé sítě mají implementovány vypínače, které celou síť zastaví v případě podivných operací. Dříve, než se útočník dostane k prostředkům uživatelů se celá síť jednoduše vypne a čeká na kontrolu vývojářů.