狗狗幣、萊特幣和Zcash等曝出嚴重漏洞,開發者警告更多風險
Leo Schwartz
2023-03-16
圖片來源:PHOTO ILLUSTRATION BY JOSUE EVILLA – FORTUNE; ORIGINAL PHOTOS BY GETTY IMAGES
2022年,加密貨幣領域的黑客攻擊大幅增多,創歷史紀錄,被網絡犯罪分子盜竊的加密貨幣價值超過30億美元。網絡安全公司Halborn發現,2023年可能是該領域更災難性的一年。該公司在狗狗幣(Dogecoin)、萊特幣(Litecoin)和Zcash等知名區塊鏈中發現了嚴重漏洞,約有250億美元的資產面臨風險。
Halborn與受到影響的各方展開合作以解決這些漏洞。Zcash和狗狗幣的開發者都發布了可以減少風險的更新,但開發者警告,漏洞依舊存在,除非區塊鏈的經營者進行修復,并且在其他網絡上同樣存在漏洞。
Halborn的研究人員在2022年3月收到狗狗幣的委托后,首先發現了這些關鍵漏洞。狗狗幣是一款熱門“網紅幣”區塊鏈,加密貨幣的市值排在第九位。狗狗幣委托Halborn評價其開源代碼庫,測試代碼中未知的漏洞或“零日漏洞”。這些漏洞可能被用于針對區塊鏈上的挖礦公司的資金。工程師們發現多個關鍵問題后,將問題報告給狗狗幣的主要開發者,后者確認了問題并在7月開發補丁。
經過進一步研究,Halborn的工程師在萊特幣和Zcash等熱門區塊鏈中發現了這種漏洞的變體。這些漏洞基于未消費的交易輸出(UTXO),這是狗狗幣、萊特幣、Zcash等區塊鏈用于分配加密貨幣數據的協議。研究人員表示,最關鍵的漏洞影響到P2P社區,攻擊者能夠利用該漏洞向節點發送惡意的共識信息,導致節點關閉,使整個網絡面臨被攻擊的風險,可能影響價值超過250億美元的資產。Halborn共發現了超過280個存在漏洞的區塊鏈。
Halborn與受到影響的項目合作說明了如何修復漏洞,并在2月14日非公開披露相關信息。雖然狗狗幣的代碼庫在2022年夏天進行了修復,但其他項目是在從Halborn獲悉漏洞后才開始調整的。注重私密性的區塊鏈Zcash的開發者Electronic Coin Company公司,在信息披露后啟動安全程序,與一個由Zcash社區資助的安全團隊ZecSec合作開發補丁。
Zcash的代表稱,沒有證據表明,已經發現的漏洞在網絡上被黑客利用,并且漏洞沒有損害用戶隱私。這位代表還表示,將在3月13日向用戶推送更新,之所以推遲發布更新是為了讓其他項目可以完成補丁開發工作。
雖然許多大型區塊鏈修復了漏洞,但Halborn的首席安全官及聯合創始人史蒂夫·瓦爾布勒爾指出,去中心化網絡需要各挖礦公司和節點的所有者采取行動,對各自的代碼庫進行修復。雖然為了解決風險,開發者發布了更新版本,但依舊需要由各所有者更新各自的代碼。瓦爾布勒爾還警告,其他項目尚未執行補丁。
狗狗幣的核心開發者帕特里克·洛德稱,該網絡已經發布了修復漏洞的補丁,但他警告尚未更新至最新版本的用戶,容易受到拒絕服務漏洞的影響。
瓦爾布勒爾對《財富》雜志表示:“曝光漏洞能夠提高人們的意識,有助于保障所有人的安全。”(財富中文網)
翻譯:劉進龍
審校:汪皓
2022年,加密貨幣領域的黑客攻擊大幅增多,創歷史紀錄,被網絡犯罪分子盜竊的加密貨幣價值超過30億美元。網絡安全公司Halborn發現,2023年可能是該領域更災難性的一年。該公司在狗狗幣(Dogecoin)、萊特幣(Litecoin)和Zcash等知名區塊鏈中發現了嚴重漏洞,約有250億美元的資產面臨風險。
Halborn與受到影響的各方展開合作以解決這些漏洞。Zcash和狗狗幣的開發者都發布了可以減少風險的更新,但開發者警告,漏洞依舊存在,除非區塊鏈的經營者進行修復,并且在其他網絡上同樣存在漏洞。
Halborn的研究人員在2022年3月收到狗狗幣的委托后,首先發現了這些關鍵漏洞。狗狗幣是一款熱門“網紅幣”區塊鏈,加密貨幣的市值排在第九位。狗狗幣委托Halborn評價其開源代碼庫,測試代碼中未知的漏洞或“零日漏洞”。這些漏洞可能被用于針對區塊鏈上的挖礦公司的資金。工程師們發現多個關鍵問題后,將問題報告給狗狗幣的主要開發者,后者確認了問題并在7月開發補丁。
經過進一步研究,Halborn的工程師在萊特幣和Zcash等熱門區塊鏈中發現了這種漏洞的變體。這些漏洞基于未消費的交易輸出(UTXO),這是狗狗幣、萊特幣、Zcash等區塊鏈用于分配加密貨幣數據的協議。研究人員表示,最關鍵的漏洞影響到P2P社區,攻擊者能夠利用該漏洞向節點發送惡意的共識信息,導致節點關閉,使整個網絡面臨被攻擊的風險,可能影響價值超過250億美元的資產。Halborn共發現了超過280個存在漏洞的區塊鏈。
Halborn與受到影響的項目合作說明了如何修復漏洞,并在2月14日非公開披露相關信息。雖然狗狗幣的代碼庫在2022年夏天進行了修復,但其他項目是在從Halborn獲悉漏洞后才開始調整的。注重私密性的區塊鏈Zcash的開發者Electronic Coin Company公司,在信息披露后啟動安全程序,與一個由Zcash社區資助的安全團隊ZecSec合作開發補丁。
Zcash的代表稱,沒有證據表明,已經發現的漏洞在網絡上被黑客利用,并且漏洞沒有損害用戶隱私。這位代表還表示,將在3月13日向用戶推送更新,之所以推遲發布更新是為了讓其他項目可以完成補丁開發工作。
雖然許多大型區塊鏈修復了漏洞,但Halborn的首席安全官及聯合創始人史蒂夫·瓦爾布勒爾指出,去中心化網絡需要各挖礦公司和節點的所有者采取行動,對各自的代碼庫進行修復。雖然為了解決風險,開發者發布了更新版本,但依舊需要由各所有者更新各自的代碼。瓦爾布勒爾還警告,其他項目尚未執行補丁。
狗狗幣的核心開發者帕特里克·洛德稱,該網絡已經發布了修復漏洞的補丁,但他警告尚未更新至最新版本的用戶,容易受到拒絕服務漏洞的影響。
瓦爾布勒爾對《財富》雜志表示:“曝光漏洞能夠提高人們的意識,有助于保障所有人的安全。”(財富中文網)
翻譯:劉進龍
審校:汪皓
Last year saw a historic rise in cryptocurrency hacks, with cybercriminals stealing over $3 billion. According to a discovery from the cybersecurity firm Halborn, 2023 could have been even more disastrous, with the company finding massive vulnerabilities in top blockchains such as Dogecoin, Litecoin, and Zcash—putting about $25 billion of assets at risk.
Halborn has worked with the affected parties to fix the issues, with developers at Zcash and Dogecoin releasing new updates to mitigate the risks, although developers warned that vulnerabilities still exist until blockchain operators implement the patches, as well as on the other networks.
Researchers at Halborn first found the critical gaps after being contracted by Dogecoin—a popular “memecoin” blockchain with the ninth-largest cryptocurrency by market cap—in March 2022. Dogecoin tasked Halborn with evaluating its open-source code base to test for unknown exploits, or “zero-day vulnerabilities,” in its code that could target funds held by the blockchain’s miners. The engineer found multiple critical issues and reported them to Dogecoin’s lead developers, who confirmed the issues and worked on patches incorporated in July.
After further research, Halborn engineers found variants of the exploits in other popular blockchains, including Litecoin and Zcash. They were based on UTXO, or unspent transaction output, a protocol for distributing cryptocurrency data used by Dogecoin, Litecoin, Zcash, and other blockchains. As the researchers detailed, the most critical vulnerability affected peer-to-peer communications, allowing attackers to craft malicious consensus messages to nodes and cause them to shut down, exposing the network to attacks, which could affect over $25 billion of assets. In total, Halborn identified over 280 vulnerable blockchains.
Halborn worked with the projects at risk to provide details on how to fix the vulnerabilities, which it disclosed to them privately on Feb. 14. Although Dogecoin’s code base was patched last summer, other projects have implemented changes only after learning about the vulnerabilities from Halborn. Electronic Coin Company, the developer of the privacy-focused blockchain Zcash, initiated its security process after the disclosure, coordinating with an independent Zcash community-funded security team called ZecSec to create patches.
A representative from Zcash said there’s no evidence that the discovered vulnerabilities led to any exploits on the network, adding that the bugs don’t compromise user privacy. According to the representative, the updates will be available to users on March 13, adding that it delayed the release to allow other projects to complete their own patches.
Despite many of the larger blockchains implementing fixes, Steve Walbroehl, the chief security officer and cofounder of Halborn, said that because the networks are decentralized, they require action from the owners of the miners and nodes to patch their own code base. Although developers have released upgraded versions to address the risks, owners still need to update their code. Walbroehl also warned that other projects have yet to implement the patches.
Patrick Lodder, a core developer for Dogecoin, said that the network has released patches to address the vulnerabilities, warning that anyone who hasn’t updated to the most recent version could be susceptible to denial-of-service vulnerabilities.
“Disclosures bring awareness, which helps everyone become secured,” Walbroehl told Fortune.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
