欧易okex官方网站
复制成功

分享至

OKX > 快讯 >

数据钱包实验室说,它发现了InfCLCS的验证者漏洞,留下了10亿美元的"妥协"资产。

gateio

欧易OKX交易所

全球排名前三的数字货币衍生品交易平台,新用户注册可拆数字货币盲盒,最高60000元,100%有奖哦

点击注册 进入官网

据网络安全公司D钱包实验室的说法,一项安全研究最初表明,一个属于信息系统的验证器具有"一个潜在的易受攻击的切入点"。"这家安保公司称,四个多月前发现的漏洞凸显了传统的Web2威胁对验证人员构成的重大风险。

1/Web3安全通常侧重于本地的Web3基元,如智能契约。然而,Web3运行在服务器上,而那些服务器很容易受到传统的Web2威胁。这种弱点突出表明,传统攻击向量至少同样重要,如果不是更重要的话。

— Omer Sadika (@omersadika) November 21, 2023


为了证明这样的弱点可能被用来发动毁灭性的攻击,DBISHERO表示,它在InfSCI上创建了自己的节点"运行我们自己的节点并攻击它们"。这一步使安全公司获得了"完全控制和提取键"。"通过重复这种类型的攻击,d钱包实验室发现了更多的漏洞。该安全公司随后能够影响到超过1000个Inf933es服务器,并"获得全面控制,包括提取存储在服务器上的本地验证器密钥。"


在一篇详细介绍安全研究结果的中篇文章中,DWISHERS实验室的安全研究员埃拉德·埃尔斯特解释说,这项研究"侧重于从更传统的角度攻击连锁网络"。"他说,计划是把验证器当作正常的云服务器来处理,并使用他所谓的经典技术来攻击它们。

4/7然而,英弗斯通不同意潜在冲击的严重性。他们回答说,这种弱点只能影响到它启动的一小部分活节点。

— CRYPTOTAG (@CRYPTO_TAG) November 21, 2023


与此同时,在一篇社交媒体的帖子中,如果一个坏演员能够获得这样的控制权,那么潜在的后果将会是什么样子,DWISE实验室的首席执行官欧默萨迪卡说:

"受影响的服务器的影响意味着超过1b美元的订金资产受到了损害,其中验证器密钥可能会被偷走,而这些密钥可能会偷走埃利瑟姆1.2%的股份,以及立得3.9%的股份。攻击者可以在许多验证提供者中利用这些漏洞来提取密钥,直到他们获得足够的电力来接管和/或审查网络。"

对于Sadika和他的团队来说,发现漏洞表明,尽管有一个气密的智能合同,但是用于运行这样一个智能合同或代码的基础设施可能会创建一个"可以完全接管网络的攻击向量"。"

虽然印孚斯通公司承认存在由D钱包实验室发现的脆弱性,但据报道前者对后者对"潜在影响的严重性"的评估提出质疑。"据X(前推特)上的一个密码标签网站共享的帖子称,INFTorde认为,在237个实例中发现的漏洞占到目前为止启动的活节点的不到0.1%。

不过,《社交媒体邮报》说,因弗斯通在冗长的报告中,已经解决了d钱包实验室提出的一些问题。

然而,在后来的一封帖子中,在有报道称因弗斯通采取了适当的措施来解决他的公司所强调的问题之后,萨迪卡似乎对因弗斯通试图淡化这个问题的做法表示遗憾。

"处理网络安全漏洞的最糟糕方式是不承担责任和说谎。我们是超级开放和透明的,目标是消除网络的风险。我的看法是:这与你是否完全安全无关,因为没有人是,这关系到你如何处理它,如何与你的合作伙伴和客户保持信任。

免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。本站资讯仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

相关推荐

industry-frontier