Компания по безопасности блокчейна dWallet Labs недавно раскрыла уязвимость, которая, как они утверждают, может затронуть криптовалюты на сумму до 1 миллиарда долларов, включая такие активы, как Эфир (ETH), Aptos (APT), BNB (BNB) и Sui (SUI).
В документе, отправленном Cointelegraph, dWallet Labs сообщили о потенциальной уязвимости в валидаторах, размещенных у поставщика инфраструктуры под названием InfStones. По словам dWallet Labs, они начали исследовательскую работу по атакам на блокчейн-сети и сбору закрытых ключей с помощью атак Web2. В ходе этого исследования, по их словам, dWallet Labs обнаружили уязвимости в валидаторах InfStones. Они написали:
«Цепочка уязвимостей, которые мы обнаружили и использовали в ходе нашего исследования, позволила нам получить полный контроль, запустить код и извлечь закрытые ключи сотен валидаторов на нескольких крупных сетях, что потенциально может привести к прямым потерям в размере более одного миллиарда долларов в криптовалютах, таких как ETH, BNB, SUI, APT и многие другие».
По словам dWallet Labs, злоумышленник, который эксплуатирует уязвимость, может получить закрытые ключи валидаторов на различных блокчейн-сетях. «Более одного миллиарда долларов активов было заложено на всех этих валидаторах, и такой злоумышленник смог бы получить полный контроль над всеми ними», – добавили они.
21 ноября InfStones ответили на запрос Cointelegraph, отрицая, что уязвимость может затронуть 1 миллиард долларов активов. Дарко Радунович, представитель InfStones, сообщил Cointelegraph, что потенциальная уязвимость может затронуть только небольшую часть запущенных ими живых узлов.
По словам Радуновича, потенциальная уязвимость была обнаружена в 237 экземплярах, включая 212 случаев, предназначенных для тестирования, и 25 экземпляров, запущенных в производственной среде. «Экземпляры, выявленные в производстве, составляют долю менее 0,1% от всех живых узлов, которые мы запустили на сегодняшний день», – сказал Радунович в заявлении. Компания также опубликовала блоговую запись, в которой говорится, что уязвимость была устранена.
Радунович также отметил, что в ответ на уязвимость они провели внутренние проверки и заказали аккредитованной компании по безопасности аудитировать свои системы и политики компании. Компания также запустила программу вознаграждения за нахождение уязвимостей, чтобы поощрить любых третьих лиц работать с ними напрямую по любым найденным ими ошибкам.