Исследователи, занимающиеся изучением систем безопасности, нашли серию критических уязвимостей в блокчейн-платформе EOS. Одна из этих уязвимостей могла позволить хакерам получить полный контроль над всеми узлами в сети, которые управляют критическими блокчейн-приложениями EOS.
EOS — это платформа для смарт-контрактов с открытым сетевым кодом, известная как "Blockchain 3.0", которая позволяет разработчикам создавать децентрализованные приложения на блокчейн-инфраструктуре, подобно Ethereum.
"Уязвимости в традиционном программном обеспечении, обычно могут быть использованы для кибер-атак, в ходе которых часто происходит утечка информации, в том числе и пользовательской. Цифровые деньги, в свою очередь — это настоящая финансовая система. Уязвимость в софте криптовалют и их блокчейне может вызвать куда больше проблем" — сообщает компания Qihoo 360 Technology Co. Ltd, занимающаяся изучением и анализом систем безопасности.
Те уязвимости, которые нашли две команды исследователей из Qihoo 360 в блокчейне EOS, представляют собой некоторые ошибки за пределами узлов сети, ответственными за распределение смарт-контрактов во всей платформе.
Таким образом, для того, чтобы получить полный доступ к системе смарт-контрактов и изменять их по своему желанию, потенциальному хакеру нужно было лишь загрузить созданный на WebAssembly заведомо вредоносный файл WASM (файл смарт-контракта) на сервер.
Когда уязвимый узел читает этот WASM-файл, он начинает захватывать над ним контроль, что позволит хакеру впоследствии добраться до головного узла в сети EOS — серверу, который собирает данные о транзакциях и объединяет их в блоки.
"Имея такую серьёзную уязвимость в сети, мы можем перезаписать весь буфер памяти WASM, используя лишь один единственный файл" — объясняют в Qihoo 360.
"Таким образом, с помощью этого же файла с вредоносным кодом мы можем добраться до главного узла, вмешаться в его процессы и даже обойти все его системы безопасности, такие как DEP/ASLR на 64-битных ОС. Как только мы производим эксплойт, происходит процесс переадресации информации с головного узла к хакеру".
Иными словами, как только хакер захватывает контроль над головным узлом сети, он может паковать вредоносные смарт-контракты в новые блоки и таким образом получить доступ над всей системой EOS.
Но что же означает "захват контроля над сетью EOS"? Чем это опасно?
"Более того, хакер может даже включить несколько ботов в сеть EOS и запустить масштабную кибер-атаку, превратив всех пользователей сети и сервера в один большой майнинг-узел, с помощью которого он сможет добывать другие криптовалюты" — добавляют исследователи.
Как только уязвимость была раскрыта, исследователи незамедлительно связались с разработчиками проекта EOS, которые, в свою очередь, оперативно исправили проблему безопасности в своей сети.
"В блокчейн-сетях и платформах существует огромное множество уязвимостей, которые можно также найти и в онлайн-кошельках, и в узлах в сети, и в майнинг-пулах и даже в самих смарт-контрактах" — заявили в Qihoo 360.
Исследователи также отметили, что новые уязвимости могут быть найдены не только в EOS, но и в других блокчейн-платформах и приложениях.