Исследователи из Китая обнаружили уязвимость в блокчейн-платформе EOS. Как заявляют специалисты, эксплуатация ошибки дает атакующему возможность выполнить на суперузле удаленный код и скомпрометировать всю сеть. В итоге злоумышленник сможет полностью контролировать работу системы, управляя транзакциями или используя ее в качестве ботнета.

О проблеме сообщили Юки Чэнь (Yuki Chen) и Чжинян Пэн (Zhiniang Peng) из исследовательской группы Qihoo 360. По словам специалистов, они обнаружили ошибку записи за пределы буфера в исходном коде функции, которая применяется сервером узлов EOS для анализа смарт-контрактов.

Используя эту брешь, злоумышленник может загрузить на узел специально созданный контракт с вредоносным кодом. Как только уязвимый процесс обработает файл с полезной нагрузкой, преступник получит возможность управлять работой сервера, отвечающего за сбор информации о транзакциях и упаковку ее в блоки.

Завладев суперузлом, атакующий сможет добавить вредоносный контракт на устройства других пользователей и управлять работой платформы EOS.io. Скомпрометированными окажутся все серверы системы — точки обмена, цифровые кошельки и другие суперузлы.

По словам экспертов, злоумышленник получит доступ ко всем транзакциям, сможет украсть личные ключи и персональные данные пользователей. Одним из результатов атаки может стать превращение блокчейн-платформы в ботнет для проведения криминальных кампаний.

Другим вариантом применения скомпрометированной сети может стать внедрение в нее майнеров для генерации «чужой» криптовалюты. Как отмечают исследователи, аналогичные проблемы могут присутствовать и в других системах, созданных на основе технологии блокчейн.

Эксперты сообщили EOS о найденной дыре, и компания уже выпустила патч, устраняющий уязвимость. Несмотря на это, в первый час после публикации информации об ошибке стоимость ее токенов упала на 7%. В данный момент курс криптовалюты составляет приблизительно 12 долларов.

Технология блокчейн обеспечивает надежные и прозрачные транзакции, однако ошибки при ее реализации могут повлечь за собой значительный ущерб. В прошлом году платформа Tether сообщила, что злоумышленникам удалось украсть токены на сумму более $30 млн. С аналогичной проблемой столкнулась криптобиржа NiceHash — в результате атаки из кошельков ее пользователей пропали биткойны на сумму $70 млн.

Категории: Другие темы