Trending
  • Một báo cáo về lỗ hổng bảo mật đã được công bố nêu bật một cuộc tấn công  đã có thể đánh sập toàn bộ mạng lưới Avalanche.
  • Lỗ hổng bảo mật hiện đã được vá.

Một báo cáo về lỗ hổng bảo mật đã được công bố sớm hôm nay nêu bật một cuộc tấn công  đã có thể đánh sập toàn bộ mạng lưới Avalanche, một trong những blockchains Layer 1 lớn nhất.

Lỗ hổng bảo mật được phát hiện lần đầu tiên bởi Peter Szilagyi, trưởng nhóm Ethereum vào ngày 29 tháng 3. Tại thời điểm phát hiện, Avalanche có tổng giá trị bị khóa (TVL) hơn 9 tỷ đô la và vốn hóa thị trường là 24 tỷ đô la, theo DeFi LlamaCoingecko. Lỗ hổng bảo mật này hiện đã được vá.

Ava Labs từ chối bình luận về câu chuyện này.

Báo cáo do Szilagyi phát hành đã đưa ra một mốc thời gian mà các sự kiện xảy ra trước khi phát hành này được công khai, cũng như các chi tiết liên quan đến lỗ hổng bảo mật.

Khi Szilagyi phát hiện ra lỗ hổng vào ngày 29 tháng 3, anh ấy đã đề nghị với Avalanche rằng họ nên thông qua một bản vá để sửa nó. Đội ngũ đã phản hồi nhanh chóng, vá lỗ hổng bảo mật ngay trong ngày hôm đó.

Lỗ hổng bảo mật là “remote node bị crash thông qua package PeerList độc hại”, Szilagyi nói.

Nói cách khác, một kẻ tấn công độc hại có thể đã đứng ra vận hành một node Avalanche với giá khoảng 179.000 đô la, gửi các gói PeerList độc hại (được sử dụng để giao tiếp mạng) đến các node khác và tấn công đánh sập mạng một cách hiệu quả.

Kẻ tấn công cũng có thể đã chọn chạy một non-validator node (chỉ được kết nối với validator so với tất cả các node trong mạng) sẽ cho kết quả tương tự một cách hiệu quả nhưng sẽ mất nhiều thời gian hơn để thực thi.

Szilagyi cung cấp thêm thông tin chi tiết rằng “Avalanche rất thoải mái trên các kết nối mạng mà nó tạo ra, và ngay cả một kết nối duy nhất cũng đủ để hạ gục một node.” “Vì tất cả các node trong mạng đều kết nối với tất cả các validator, nên đó là một cái chết tương đối bất thình lình cho toàn bộ mạng,” ông nói thêm

Szilagyi đã viết trong trường hợp kẻ tấn công vận hành một validator mới để thực hiện cuộc tấn công này, kẻ tấn công đã chọn short AVAX ngay cả với chi phí trả trước là 179.000 đô la.

 

Nguồn: theblockcrypto

bài viết liên quan