Dogecoin 和 Zcash 如何解決暴露價值 250 億美元加密貨幣的源代碼漏洞?



Dogecoin 和 Zcash 如何解決暴露價值 250 億美元加密貨幣的源代碼漏洞?

在災難性的 2022 年之後,加密網絡漏洞在 2023 年仍然存在。在最新的例子中,一個安全研究團隊揭示了狗狗幣、萊特幣和 Zcash 的巨大風險,開發人員警告稱存在進一步的風險。

加密貨幣使用開源代碼庫,旨在允許任何人檢查、修改和分發軟件的源代碼。這種開放性促進了透明度、問責制和創新,使加密社區能夠不斷發展和改進區塊鏈技術。

但是,這也意味著該代碼很容易受到可以識別並利用其弱點的惡意行為者的利用。

不良行為者滲透網絡的不同方式

以下是開源代碼庫可能存在影響區塊鏈安全的漏洞的一些方式。

  1. 編碼錯誤:即使是最有經驗的開發人員也可能會犯編碼錯誤,從而使代碼容易被利用。例如,開發人員可以通過未能正確執行輸入驗證來創建漏洞,從而允許攻擊者將惡意代碼注入系統。同樣,內存分配或數據處理中的錯誤可能會導致數據損壞或丟失。
  2. 缺乏代碼審查:開源代碼庫依靠同行審查來識別和修復代碼中的問題。但是,如果代碼庫沒有嚴格的審查流程,則可能會導致攻擊者可以利用的安全漏洞。此外,沒有經驗的開發人員在沒有完全理解其更改的含義的情況下進行更改可能會引入新的漏洞。
  3. 分叉代碼:分叉是開發人員修改現有代碼庫以創建新項目的過程。雖然開源社區預計會出現分叉,但如果開發人員未能合併安全更新或進行不當更改,它可能會引入漏洞。如果一個分叉項目變得流行,攻擊者可能會因為它的潛在漏洞而將其作為目標。
  4. 軟件依賴:許多開源項目在使用第三方庫和框架時運行良好。雖然這些依賴項可以節省您的時間和精力,但如果它們包含缺陷或已過時,它們也會引入漏洞。攻擊者可以利用這些漏洞來訪問敏感數據或破壞區塊鏈的完整性。
  5. 社會工程:即使代碼庫在技術上是可靠的,攻擊者仍然可以利用人為弱點來訪問系統。例如,他們可能會使用網絡釣魚攻擊來獲取登錄憑據或誘騙開發人員將惡意代碼引入系統。

加密平台看到非法活動在增加

歸根結底,加密貨幣代碼的開源性質提供了顯著的好處,例如透明度和創新。但是,它也引入了攻擊者可以利用的潛在漏洞。因此,開發人員必須不斷審查和改進代碼,以確保其安全性並維護區塊鏈的完整性。

去年, 參與加密貨幣攻擊的不良行為者增加了 38 億美元。 2022 年的非法活動比 2021 年的數字 ($3.30B) 增長了 15%,並且大大高於 2020 年被盜的 $0.50B。

2016 年至 2022 年的加密黑客攻擊 資料來源:Chainalysis。狗狗幣 (DOGE)
2016 年至 2022 年的加密貨幣黑客 資料來源: Chainalysis

根據網絡安全公司Halborn的一項調查結果,2023 年可能會更加災難性。已在 280 多個主要區塊鏈中發現漏洞。其中包括狗狗幣、萊特幣和 Zcash。總共約有 250 億美元的資產面臨風險。

突出主要漏洞

Halborn 研究人員評估了DOGE 的開源代碼庫,以測試其代碼中可能針對區塊鏈礦工基金的未知攻擊或“零日漏洞”。

零日漏洞來源:熊貓安全
零日漏洞來源: 熊貓安全

研究人員確定了兩個代號為 Rab13s 的關鍵缺口。 Dogecoin 開發人員後來在收到安全公司的通知後修復了這些錯誤。

有害事件的嚴重後果

漏洞的識別引發了進一步的問題,因為在類似的區塊鍊網絡中也發現了這些零日的變體,包括 Litecoin 和 Zcash。牢記這些差距可能會導致嚴重的後果。

首先,關於 P2P 消息傳遞機制,惡意同意消息可以發送到每個節點,導致它們崩潰並使網絡面臨嚴重風險,例如51% 攻擊。展望未來,攻擊者可以作為節點的普通用戶通過公共接口 (RPC) 運行代碼。由於執行攻擊需要有效的憑據,因此利用的可能性較低。

因此,為避免進一步損壞,安全公司團隊建議將所有基於 UTXO 的節點(例如 Dogecoin)更新至最新版本(1.14.6)。

在進一步的郵件對話中,安全公司回答了 BeInCrypto 提出的一些問題。當被問及 Zcash、Litecoin 和 Dogecoin 如何修復這些漏洞時,該團隊回答說:

Halborn 團隊分享的屏幕截圖
Halborn 團隊分享的屏幕截圖

此類事件可能會對更廣泛的加密生態系統產生影響。 Halborn 的首席安全官兼聯合創始人Steve Walbroehl說:

“問題在公共主網上持續的時間越長,它們就越有可能被惡意的黑客發現和利用。由於我們已經完成了狗狗幣的工作,我們已經確定了一個解決方案和一個來自最大利益相關者的解決方案,可以作為所有其他鏈的示例。這是一個光榮的行動呼籲,要求不同的項目努力幫助彼此解決共同的威脅,從而取得積極成果。”

BeInCrypto 已聯繫 Dogecoin 和 Zcash 的主要開發人員,徵求他們對此事的意見。但是,他尚未收到回复。

Dogecoin 和 Zcash 如何解決暴露 $25B 加密貨幣的源代碼漏洞?首次出現在BeInCrypto上。