Разработчик Ethereum Петер Силадьи опубликовал отчет об уязвимости, в котором подробно описано, как ошибка, обнаруженная им в Avalanche, могла привести к краху всей сети.
29 марта 2022 года Петер Силадьи выявил ошибку в пакете PeerList программы Avalanche, которой легко мог воспользоваться злоумышленник. Он связался с командой разработчиков Avalanche, и они оперативно устранили уязвимость.
Публикую мой отчет об уязвимости #Avalanche от 29 марта 2022 года, которая могла быть использована для бесплатного вывода из строя всей сети.
Проблема была исправлена еще давно, и с последним хард-форком Avalanche все узлы работают с исправленным программным обеспечением.
Njoy 🙂https://t.co/nokedKF7IZ
- Péter Szilágyi (karalabe.ETH) (@peter_szilagyi) 8 сентября 2022 г.
Уязвимость PeerList
Сеть Avalanche взаимодействует с помощью пакета PeerList, который могут отправлять только валидаторы узлов. Силадьи объяснил, что уязвимость была такова, что злоумышленнику достаточно было завладеть 2000 токенов Avax, необходимых для того, чтобы стать узлом-валидатором, и разослать вредоносный пакет PeerList узлам сети.
Силадьи объяснил:
Поскольку все узлы в сети подключаются ко всем валидаторам, это практически мгновенная смерть для всей сети.
Он добавил:
Цена, конечно, 2000AVAX, но я считаю это приемлемым, поскольку хорошая короткая сделка принесет сладкую прибыль, а сеть все равно восстановится через несколько часов, так что долгосрочная стоимость не будет потеряна из-за вредоносного валидатора.
По состоянию на март 2022 года рыночная капитализация сети Avalanche оценивалась более чем в 24 миллиарда долларов. Крах экосистемы был бы фатальным, если бы уязвимостью воспользовался злоумышленник.
Битва Лавины с жуками
Во время запуска DeFi протокола Pangolin на Avalanche в феврале 2021 года в сети произошла ошибка "cross-chain finality", которая заставила ее перейти в "режим самовосстановления".
Avalanche столкнулась с высокой нагрузкой на сеть, в результате чего некоторые валидаторы приняли несколько недействительных монетных транзакций. В результате сеть была вынуждена приостановить все транзакции на несколько часов. Разработчики быстро исправили проблему и завершили все ожидающие транзакции.
Кристиан - крипто-любопытный ботаник, который любит исследовать, как протоколы работают под капотом. Кристиан интересуется исследованием протоколов DeFi, экономикой токенов и аналитикой на цепочке.