Уязвимость в Avalanche угрожала полным отключением сети

Ethereum-разработчик Петер Силадьи рассказал об уязвимости, с помощью которой злоумышленник мог вывести из строя сеть Avalanche.

Программист обнаружил баг 29 марта. Тогда же его оперативно исправили предложенным Силадьи патчем.

8 сентября разработчик опубликовал подробный отчет с разрешения инженера Ava Labs Патрика О’Грейди.

Уязвимость представляла собой «крах удаленной ноды из-за вредоносного пакета PeerList».

Злоумышленник мог выбрать два варианта атаки. В одном случае зарегистрироваться в качестве валидатора за 2000 AVAX (~$40 000) и разослать инфицированные пакеты PeerList, которые используются для сетевого взаимодействия.

«Поскольку ноды подключаются ко всем валидаторам, это в значительной степени мгновенная смерть для сети», — отметил Силадьи.

Цену атаки он назвал «приемлемой». По его мнению, ставка на падение токена принесла бы злоумышленнику «приятную прибыль». В долгосрочной перспективе ценность вложенных средств не страдает, поскольку блокчейн «все равно восстановится через несколько часов», добавил Силадьи.

Вторым вариантом для атакующего было бесплатно зарегистрировать «невалидаторскую» ноду для рассылки вредоносных пакетов. Однако в этом случае остановка сети потребовала бы больше времени, уточнил программист.

«Avalanche очень спокойно относится к сетевым подключениям, которые устанавливает, и даже одного из них достаточно, чтобы отключить ноду», — заявил разработчик.

https://forklog.com/cryptorium/chto-takoe-avalanche

Напомним, в марте президент Ava Labs Джон Ву отказался назвать Avalanche конкурентом Ethereum.

Подписывайтесь на наш Telegram и будьте в курсе последних новостей!
Чтобы оставить комментарий необходимо или зарегистрироваться