Хакеры нашли способ воровать криптовалюту из майнинговых пулов

23 апреля

Уязвимость в средствах верификации в алгоритме Equihash позволяет «подделать» Proof-of-Work.

Исследователи компании 360 Core Security обнаружили новый вид хакерской атаки. Она возможна благодаря логической уязвимости в технологии Equihashverify, который используется для проверки достоверности.

Эксперты особо подчеркивают, что «дыра» была найдена не в самом Equihash – криптографическом алгоритме, который ориентирован на использование для майнинга оперативной памяти, и который использует, например, Zcash, – а в реализации средств верификации.

В исследовании поясняется, что в файле equi.c находится функция bool verifyEH (const char*hdr, const char*soln). Параметр hdr означает заголовок блока, а параметр soln = {x1, x2, ..., x512} обозначает для пользователя предоставленные решения для Equihash. Алгоритм вычисляет:

Vhash = hash (hdr, x1) ^ hash (hdr, x2) ^ ... ^ .hh (hdr, x512).

Следующим шагом должна стать проверка, являются ли все возвращаемые значения в Vhash нулями. Звучит просто, но в действительности именно на этом этапе существует множество уязвимостей в алгоритме. Пример простейшей из них – функция не проверяет дублирование xi. Таким образом, если злоумышленник предоставляет решение с {x1 = 1, x2 = 1, x3 = 1, ..., x512 = 1}, затем он может обойти верификатор Equihash для любого заголовка блока.

Криптографический алгоритм Equihash используется приблизительно в десятке криптовалют. К настоящему моменту проблема затронула майнинговые пулы, специализирующиеся на таких криптовалютах, как Zcash, Bitcoin Gold, Zencash, Bitcoin Private, Zclassic, Komodo, Hush, BitcoinZ, Bitcoin Candy, NewBTG. Пул нод Zencash уже изменил прописанную зависимость от верификатора Equihash и опубликовал обновления, однако многие пулы альткоинов еще не отреагировали на угрозу. Поскольку на практике атаки с использованием этой уязвимости уже ведутся, майнерам рекомендуется вовремя устанавливать обновления.

Читайте также наш материал о том, как эволюционировал майнинг!

 

Оставайтесь в курсе и следите за развитием событий на сайте blockchain.ru! Присоединяйтесь к обсуждениям самых интересных тем в нашем сообществе Facebook. А для того, чтобы оперативно узнавать о горячих новостях, подписывайтесь на наш телеграм-канал.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera