The current Bet365 opening offer for new customers is market-leading bet365 mobile app You can get a free bet right now when you open an account.

Falha Crítica Descoberta em sistema baseado em Blockchain

 

Pesquisadores de segurança descobriram uma série de novas vulnerabilidades na plataforma EOS blockchain, uma das quais poderia permitir que hackers remotos controlassem completamente os servidores de nós que rodam os aplicativos críticos baseados em blockchain.

A EOS é uma plataforma de contrato inteligente de código aberto, conhecida como ‘Blockchain 3.0’, que permite aos desenvolvedores criar aplicativos descentralizados em detrimento da infraestrutura blockchain, assim como a Ethereum.

Descoberta pelos pesquisadores de segurança chineses da Qihoo 360  Yuki Chen da equipe Vulcan e Zhiniang Peng da equipe de segurança Core – a vulnerabilidade é um problema de gravação fora do limite que reside na função usada pelo servidor de nós para analisar contratos.

Para obter a execução remota de código em um nó de destino, tudo o que um invasor precisa fazer é carregar um arquivo WASM criado com códigos maliciosos (um contrato inteligente) escrito no WebAssembly para o servidor.

Assim que o analisador de processo vulnerável lê o arquivo WASM, a carga mal-intencionada é executada no nó, que também pode ser usada para assumir o controle do supernó na rede EOS – servidores que coletam informações de transação e as compactam em blocos.

           “Com a primitiva de gravação fora do limite, podemos sobrescrever o buffer de memória WASM de uma instância do módulo WASM”. Explicou a dupla em seu post publicado hoje.

“E com a ajuda do nosso código WASM malicioso, finalmente conseguimos leitura / gravação arbitrária de memória no processo  e ignoramos as técnicas comuns de mitigação de exploração como DEP / ASLR no sistema operacional de 64 bits. Uma vez explorada com sucesso, a exploração inicia um reverso shell e se conecta de volta ao atacante “.

Uma vez que os atacantes ganham controle sobre o supernó, eles podem eventualmente “compactar o contrato malicioso no novo bloco e controlar ainda mais todos os nós da rede EOS”.

Como o sistema supernó pode ser controlado, os pesquisadores disseram que os atacantes podem “fazer o que quiserem”, incluindo controlar as transações em moeda virtual e adquirir outros dados financeiros e de privacidade nos sistemas de nós participantes da rede EOS, como uma bolsa digital, moeda, a chave que o usuário armazenada na carteira, os principais perfis de usuário, os dados de privacidade e muito mais.

“Além disso, o invasor pode transformar um nó na rede EOS em um membro de uma botnet, lançar um ataque cibernético ou se tornar um ‘mineiro’ livre e desenterrar outras moedas digitais”, disseram os pesquisadores à THN.

Os pesquisadores detalharam como reproduzir a vulnerabilidade e também lançaram uma exploração de prova de conceito, junto com uma demonstração de vídeo, que você pode assistir em seu post no blog.

A exploração demonstrada pelo pesquisador 360Vulcan pode ignorar múltiplas medidas de mitigação de segurança padrão para alcançar o controle completo sobre o super nó executando o contrato malicioso.

O par reportou responsavelmente a vulnerabilidade aos mantenedores do projeto EOS, e eles já liberaram uma correção para o problema no GitHub.

“Nas redes Blockchain e nos sistemas de moeda digital, existem muitas superfícies de ataque em nós, carteiras digitais, pools de mineração e contratos inteligentes. A equipe de segurança 360 descobriu e divulgou anteriormente várias vulnerabilidades relevantes de alto risco”.

Os pesquisadores acreditam que o novo tipo de vulnerabilidade afeta não apenas a EOS, mas também outros tipos de plataformas Blockchain e aplicativos de moeda virtual.

 

Fonte: THN

Recent Posts