Новое расследование HackerOne показало, что одного компьютера достаточно, чтобы вызвать полную остановку всего блокчейна TRON.
До недавнего времени злоумышленники могли злонамеренно потреблять ресурсы центрального процессора сети с помощью распределенных сетевых атак (DDoS).
«Используя одну машину, злоумышленник может провести DDoS-атаку на все или 51% нод (Супер Представитель) и сделать невозможным использование сети TRON», – говорится в отчете с пометкой о высокой степени опасности.
Потенциальные DDoS-атаки включали многократный призыв к развертыванию смарт-контрактов, загруженных с вредоносным «байт-кодом» (формат кода, принимаемый виртуальной машиной TRON).
Этот недостаток в кошельке TRON позволял всей доступной памяти сети быть занятой одним компьютером, который мог бы вывести из строя весь блокчейн.
Исследователь, обнаруживший ошибку, обозначил проблему 14 января, а 1 февраля был награжден $ 1500 за свою бдительность.
Вторая награда (на сумму $ 3100) также была выплачена, однако фонд TRON Foundation предпочел не раскрывать детали.
За 10 месяцев, прошедших с момента первого запуска программы раскрытия ошибок, Фонд выделил исследователям в области безопасности вознаграждение в размере $ 78800 за 15 отчетов об уязвимостях.
Двенадцать из этих отчетов помечены как «решенные», самая высокая сумма вознаграждения, полученная на сегодняшний день, равняется $ 10 000.
Подобные уязвимости были обнаружены и в других популярных блокчейнах. В сентябре прошлого года разработчики Bitcoin Core обнаружили опасную уязвимость системы безопасности биткоина.
Существует также множество других криптовалютных проектов, в которых HackerOne находил ошибки. В их числе Augur, Monero и даже биржа криптовалют Coinbase.
В целом, в 2018 году независимые эксперты по безопасности заработали на выявлении багов криптовалют $ 878м000, более половины из них пришлись на Block.one, компанию-разработчика программного обеспечения блокчейна EOS.
Редактор. Переводчик. Криптоинвестор.