Το ZenGo αποκαλύπτει ευπάθεια dApp

Το ZenGo αποκαλύπτει ευπάθεια dApp

Χρονική σήμανση: 22 Μαρτίου 2023 1:05 π.μ.
Κόμβος πηγής: 2026984

Η ZenGo, ένας προγραμματιστής κρυπτογραφικών πορτοφολιών, ανακάλυψε μια ευπάθεια ασφαλείας σε αποκεντρωμένες εφαρμογές (dApps) που ονομάζεται «επίθεση κόκκινου χαπιού». Αυτή η ευπάθεια επέτρεψε σε κακόβουλες dApps να κλέβουν περιουσιακά στοιχεία των χρηστών χρησιμοποιώντας αδιαφανείς εγκρίσεις συναλλαγών. Η ZenGo διεξήγαγε έρευνα που αποκάλυψε ότι πολλοί κορυφαίοι προμηθευτές, συμπεριλαμβανομένου του Coinbase Wallet, ήταν ευάλωτοι σε τέτοιες επιθέσεις. Ωστόσο, η ZenGo δήλωσε ότι όλοι οι προμηθευτές ήταν δεκτικοί στις αναφορές τους και οι περισσότεροι από αυτούς έσπευσαν να διορθώσουν τις ελαττωματικές υλοποιήσεις τους.

Η ευπάθεια είναι δυνατή λόγω της παράβλεψης προγραμματισμού στις "Ειδικές μεταβλητές" μεταξύ έξυπνων συμβάσεων που αποθηκεύουν γενικές πληροφορίες σχετικά με τη λειτουργικότητα της αλυσίδας μπλοκ, όπως τη χρονική σήμανση του τρέχοντος μπλοκ. Κατά τη διάρκεια των προσομοιώσεων, δεν υπάρχει σωστή τιμή για τις Ειδικές Μεταβλητές και οι προγραμματιστές «παίρνουν μια συντόμευση» και τις ορίζουν σε μια αυθαίρετη τιμή. Αυτή η ευπάθεια είναι όπου η «επίθεση κόκκινου χαπιού» αντλεί το όνομά της από την εμβληματική σκηνή του «κόκκινου χαπιού» από τη σειρά ταινιών The Matrix. «Εάν το κακόβουλο λογισμικό είναι σε θέση να ανιχνεύσει ότι εκτελείται πραγματικά σε ένα προσομοιωμένο περιβάλλον ή ζει στη μήτρα, μπορεί να συμπεριφέρεται με καλοήθη τρόπο, εξαπατώντας έτσι τη λύση κατά του κακόβουλου λογισμικού και αποκαλύπτοντας την πραγματική του κακόβουλη φύση μόνο όταν εκτελείται πραγματικά σε πραγματικό περιβάλλον."

Το ZenGo έδειξε σε ένα βίντεο πώς μια προσομοίωση έξυπνης σύμβασης στο Polygon (MATIC) θα μπορούσε να παραβιαστεί χρησιμοποιώντας αυτήν τη μέθοδο. Το ZenGo έδειξε ότι όταν ο χρήστης στέλνει τη συναλλαγή on-chain, το COINBASE γεμίζει με τη μη μηδενική διεύθυνση του τρέχοντος ανθρακωρύχου και το συμβόλαιο παίρνει μόνο τα απεσταλμένα νομίσματα.

Η ZenGo είπε ότι η επιδιόρθωση για την ευπάθεια ήταν απλή. Αντί να συμπληρώνονται αυτές οι ευάλωτες μεταβλητές με αυθαίρετες τιμές, οι προσομοιώσεις πρέπει να τις συμπληρώνουν με σημαντικές τιμές. Το ZenGo παρουσίασε ανανεωμένα στιγμιότυπα οθόνης των bounties σφαλμάτων, που προφανώς απονεμήθηκαν από την Coinbase, για την επίλυση του προβλήματος. Το Ίδρυμα Ethereum έχει επίσης χορηγήσει στο ZenGo μια επιχορήγηση 50,000 $ για την έρευνά του σχετικά με τις προσομοιώσεις συναλλαγών.

Οι αποκεντρωμένες εφαρμογές ή dApps αποτελούν ουσιαστικό μέρος του οικοσυστήματος blockchain. Λειτουργούν σε αποκεντρωμένα δίκτυα, όπου δεν υπάρχει κεντρική αρχή και οι συναλλαγές καταγράφονται στο blockchain. Το πλεονέκτημα των dApps είναι ότι παρέχουν στους χρήστες έναν πιο ασφαλή και διαφανή τρόπο συναλλαγών χωρίς κεντρική αρχή. Ωστόσο, όπως συμβαίνει με κάθε τεχνολογία, υπάρχουν ευπάθειες που πρέπει να αντιμετωπιστούν. Η ανακάλυψη της ευπάθειας της «επίθεσης κόκκινου χαπιού» από το ZenGo υπογραμμίζει τη σημασία της ασφάλειας στο οικοσύστημα της αλυσίδας μπλοκ.

Συμπερασματικά, η ανακάλυψη από το ZenGo της ευπάθειας της «επίθεσης με κόκκινο χάπι» στα dApps είναι μια σημαντική εξέλιξη στο οικοσύστημα της αλυσίδας μπλοκ. Η ευπάθεια, η οποία επέτρεψε σε κακόβουλες dApps να κλέβουν περιουσιακά στοιχεία των χρηστών, υπογραμμίζει τη σημασία της ασφάλειας στο οικοσύστημα της αλυσίδας μπλοκ. Η έρευνα του ZenGo έδειξε ότι πολλοί κορυφαίοι προμηθευτές ήταν ευάλωτοι σε τέτοιες επιθέσεις, αλλά έσπευσαν να διορθώσουν τις ελαττωματικές υλοποιήσεις τους. Η επιδιόρθωση για την ευπάθεια είναι απλή και το ZenGo προέτρεψε τους προγραμματιστές να συμπληρώσουν τις ευάλωτες μεταβλητές με σημαντικές τιμές.

[mailpoet_form id=”1″]

Το ZenGo αποκαλύπτει την ευπάθεια dApp Αναδημοσίευση από την Πηγή https://blockchain.news/news/zengo-uncovers-dapp-vulnerability μέσω https://blockchain.news/RSS/

Si al principi no tens èxit, aleshores el paracaigudisme no és per a tu.

->

Si al principi no tens èxit, aleshores el paracaigudisme no és per a tu.
->

Σφραγίδα ώρας:

Περισσότερα από Σύμβουλοι Blockchain