Fiyatlar yükleniyor…
🩸BEARISH

LTC 13 Blokluk Zincir Reorganizasyonuna Uğradı: MWEB Açığı

GitHub commit geçmişi, konsensüs hatasının saldırıdan dört hafta önce özel olarak düzeltildiğini gösteriyor; Vakfın 'sıfır gün' çerçevesi tartışmalı ve 32 dakikalık geçersiz pencerede taşınan LTC miktarı hâlâ açıklanmadı.

Litecoin, 25 Nisan haftasonunda saldırganların Mimblewimble Extension Block (MWEB) protokolündeki bir açığı kullanarak yaması uygulanmamış düğümler üzerinden geçersiz işlemleri geçirmesi sonucu 13 blokluk bir zincir reorganizasyonuna uğradı. Litecoin Vakfı olayı bir sıfır gün istismarı olarak nitelendirdi; ancak herkese açık litecoin-project GitHub deposu, alttaki konsensüs açığının 19 Mart ile 26 Mart arasında — saldırıdan yaklaşık dört hafta önce — özel olarak yamalandığını ve 0.21.5.4 sürümüne ancak istismar çoktan başlamışken, 25 Nisan öğleden sonrasında eklendiğini gösteriyor. Saldırıda kullanılan ayrı bir hizmet dışı bırakma açığı ise aynı sabah yamanmıştı.

Neden önemli

Sıfır gün, tanım gereği saldırı anında savunmacıların bilmediği bir açıktır. Commit geçmişi, bunun tam tersini işaret ediyor: düzeltmesi kamuya açıklanmayıp tüm madencilik havuzlarına dağıtılmayan bilinen bir hata söz konusuydu; bu da bazı operatörlerin yamalı, bazılarının ise yamasız kod çalıştırdığı bir pencere yarattı. SEAL911 acil müdahale grubundan güvenlik araştırmacısı bbsz, yama zaman çizelgesini herkese açık commit kaydından çıkardı ve X üzerinden Vakfın olay sonrası raporunun git geçmişiyle örtüşmediğini savundu. NEAR'dan Alex Shevchenko, zincir üstü verilerin saldırganın ön finansmanını istismardan 38 saat önceki bir Binance çekimine kadar izlediğini, hedef adresin ise zaten LTC'yi merkeziyetsiz bir borsada ETH'ye takas etmek üzere bağlanmış olduğunu ekledi — bu hazırlık düzeyi bilinmeyen bir açıkla bağdaşmıyor.

Piyasa etkisi

13 blokluk reorganizasyon, yamasız madencilere yönelik DoS saldırısı sona erdiğinde ağın en uzun geçerli zincirinin saldırganın çatalını geçmesiyle yaklaşık 32 dakikalık etkinliği tersine çevirdi. Daha geniş piyasa için yapısal okuma şu: Litecoin ve bitcoin gibi eski proof-of-work ağları, yükseltme zamanlamasını bağımsız madencilik havuzlarının tercihlerine bırakır; bu yaklaşım rutin değişikliklerde işe yarar, ancak bir güvenlik yamasının her operatöre saldırgan ulaşmadan ulaşması gerektiği durumlarda istismara açık bir boşluk bırakır — yeni zincirlerin çalıştırabildiği saatler ölçeğindeki koordineli yükseltmenin tam tersi.

İlgili tokenler
$LTC

Sıkça sorulan sorular

  1. 25 Nisan haftasonunda Litecoin'de gerçekte ne oldu?

    Saldırganlar, Litecoin'in Mimblewimble Extension Block (MWEB) protokolündeki bir açığı kullanarak yaması uygulanmamış düğümler üzerinden geçersiz işlemleri geçirdi ve bu da yaklaşık 32 dakikalık etkinliği tersine çeviren 13 blokluk bir zincir reorganizasyonunu tetikledi.

  2. 'Sıfır gün' çerçevesi neden tartışmalı?

    Herkese açık litecoin-project GitHub'ı, temel konsensüs hatasının 19-26 Mart arasında, saldırıdan yaklaşık dört hafta önce özel olarak yamalandığını gösteriyor; sıfır gün, tanım gereği istismar anında savunmacıların bilmediği bir açıktır.

  3. Yama zaman çizelgesi tutarsızlığını kim gündeme getirdi?

    SEAL911 acil müdahale grubundan güvenlik araştırmacısı bbsz, yama zaman çizelgesini herkese açık commit kaydından çıkardı; NEAR Vakfı'ndan Alex Shevchenko da aralarında saldırganın Binance üzerinden ön finansmanına dair zincir üstü kanıtların da bulunduğu paralel endişeleri dile getirdi.

  4. Ağ 13 blokluk reorganizasyondan nasıl kurtuldu?

    Yamalı madencilik düğümlerine yönelik hizmet dışı bırakma saldırıları sona erdiğinde, en uzun geçerli zincir saldırganın çatalını geçti ve ağ kanonik duruma yeniden organize oldu. 32 dakikalık geçersiz pencere fiilen tersine çevrildi.

  5. Litecoin Vakfı GitHub zaman çizelgesine yanıt verdi mi?

    Pazar sabahı itibarıyla Vakıf, yama zaman çizelgesi hakkında kamuya açık bir açıklama yapmamıştı; geçersiz blok penceresinde taşınan LTC miktarını ve reorganizasyon bunları tersine çevirmeden önce tamamlanan takasların değerini de henüz açıklamadı.

Kaynak atıf
Şuradan derlenmiştir CoinDesk · Doğrulanmış · Son güncelleme 74g önce
Orijinali aç →