В четверг был опубликован отчет об уязвимости, в котором подчеркивается атака, которая могла бы вывести из строя всю сеть Avalanche, одного из крупнейших блокчейнов первого уровня. С тех пор уязвимость была исправлена.
Уязвимость была впервые обнаружена руководителем группы Ethereum Питером Силагьи 29 марта. На момент обнаружения общая заблокированная стоимость Avalanche (TVL) составляла более 9 миллиардов долларов, а рыночная капитализация составляла примерно 24 миллиарда долларов, согласно DeFi Llama и Coingecko соответственно. С тех пор эта проблема была исправлена.
Ava Labs отказалась комментировать эту историю.
В отчете, опубликованном Силагьи, изложена хронология событий, которые произошли до публичного релиза, а также подробности об уязвимости.
Когда Силагьи обнаружил уязвимость 29 марта, он предложил Avalanche (AVAX) выпустить патч, чтобы исправить ее. Команда отреагировала быстро, исправив уязвимость в тот же день.
Уязвимость представляла собой «крах удаленного узла из-за вредоносного пакета PeerList», — сказал Силагьи.
Другими словами, злоумышленник мог профинансировать узел Avalanche примерно на 179 000 долларов, разослать вредоносные пакеты PeerList (используемые для сетевого взаимодействия) на другие узлы и отключить сеть.
Злоумышленник также мог выбрать запуск узла без валидатора (подключенного только к валидаторам, а не ко всем узлам в сети), который фактически дал бы тот же результат, но потребовал бы гораздо больше времени для выполнения.
Силагьи предоставил более подробную информацию.
«Avalanche очень спокойно относится к сетевым подключениям, которые он устанавливает, и даже одного подключения достаточно, чтобы отключить узел. Поскольку все узлы в сети подключаются ко всем валидаторам, это в практически мгновенная смерть для всей сети», — пояснил он.
Силагьи написал, что в случае, если злоумышленник финансирует новый валидатор для проведения этой атаки, он предпочтет разместить токен AVAX на какое-то время даже при первоначальной стоимости в 179 000 долларов.
Это связано с тем, что «сеть все равно восстановится через несколько часов, поэтому долгосрочная ценность не будет потеряна во вредоносном валидаторе», — написал Силагьи в своем отчете.
Источник: Источник
