Más de 280 blockchains corren el riesgo de sufrir ataques de “día cero”, advierte una empresa de seguridad
Según la empresa de ciberseguridad Halborn, más de 280 redes blockchain corren el riesgo de sufrir ataques de “día cero” que podrían poner en peligro criptomonedas por un valor de al menos USD 25,000 millones.
En una entrada de blog publicada el 13 de marzo, Halborn advirtió de la vulnerabilidad denominada “Rab13s” y añadió que ya ha trabajado con algunas cadenas de bloques, como Dogecoin, Litecoin y Zcash, para establecer una solución.
Halborn discovered massive #ZeroDay impacting Dogecoin and 280+ networks including Litecoin and Zcash, putting over $25 Billion of digital assets at risk!
…
— Halborn (@HalbornSecurity) March 13, 2023
Halborn descubrió un día cero masivo que afecta a Dogecoin y a más de 280 redes, incluidas Litecoin y Zcash, ¡poniendo en riesgo más de USD 25,000 millones en activos digitales! …
Halborn dijo que fue contratado en marzo de 2022 para llevar a cabo una revisión de seguridad de la base de código de Dogecoin y encontró “varias vulnerabilidades críticas y explotables.”
Más tarde determinó que esas mismas vulnerabilidades “afectaban a más de otras 280 redes” que ponían en peligro criptomonedas por valor de miles de millones de dólares.
Halborn describió tres vulnerabilidades, la “más crítica” de las cuales le permite a un atacante “enviar mensajes de consenso maliciosos a nodos individuales, provocando el cierre de cada uno de ellos”.
3/ The most critical vulnerability discovered is related to peer-to-peer (p2p) communications where attackers can craft consensus messages and send it to individual nodes, taking them offline.
Halborn researchers, led by @safe_buffer, have code-named this vulnerability #Rab13s.
— Halborn (@HalbornSecurity) March 13, 2023
3/ La vulnerabilidad más crítica descubierta está relacionada con las comunicaciones peer-to-peer (p2p), en las que los atacantes pueden elaborar mensajes de consenso y enviarlos a nodos individuales, desconectándolos. Los investigadores de Halborn, dirigidos por @safe_buffer, han dado a esta vulnerabilidad el nombre en clave #Rab13s.
Añadió que, con el tiempo, estos mensajes podrían exponer la cadena de bloques a un ataque del 51%, en el que un atacante controla la mayor parte de la tasa de hash de minería de la red o los tokens staked para crear una nueva versión de la blockchain o desconectarla.
Otras vulnerabilidades de día cero detectadas permitirían a posibles atacantes bloquear nodos de la cadena de bloques enviando peticiones de llamada a procedimiento remoto (RPC), un protocolo que permite a un programa comunicarse y solicitar servicios a otro.
7/ Secondly, attackers can execute code through the public interface (RPC) as a normal node user. Since a valid credential is required to carry out the attack, the likelihood of this exploit is lower.
— Halborn (@HalbornSecurity) March 13, 2023
7/ En segundo lugar, los atacantes pueden ejecutar código a través de la interfaz pública (RPC) como un usuario normal del nodo. Dado que se requiere una credencial válida para llevar a cabo el ataque, la probabilidad de este exploit es menor.
Añadió que la probabilidad de exploits relacionados con RPC era menor, ya que requiere credenciales válidas para llevar a cabo el ataque.
“Debido a las diferencias de código entre las redes, no todas las vulnerabilidades son explotables en todas las redes, pero al menos una de ellas puede ser explotable en cada red”, advirtió Halborn.
La empresa dijo que por el momento no va a publicar más detalles técnicos de los exploits debido a su gravedad y añadió que hizo un “esfuerzo de buena fe” para ponerse en contacto con todas las partes afectadas para revelar los exploits potenciales y proporcionar soluciones para las vulnerabilidades.
Según Halborn, Dogecoin, Zcash y Litecoin ya han implementado parches para las vulnerabilidades descubiertas, pero cientos de ellas aún podrían estar expuestas.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
