Хакеры похищают криптовалюту прямиком из пула

Хакеры похищают криптовалюту прямиком из пула

Уязвимость в реализации средства верификации equihashverify позволяет подделывать доказательства работы.

image

Исследователи компании 360 Core Security рассказали о новой атаке, в ходе которой злоумышленники похищают криптовалюту прямиком из пула Equihash. Атака возможна благодаря логической уязвимости в алгоритме equihashverify, используемом для проверки достоверности математического утверждения. Поскольку equihashverify раньше использовался в Zcash и других криптовалютах, уязвимость является широко распространенной.

Уязвимость затрагивает не сам алгоритм Equihash, а реализацию средства верификации. Proof-of-Work алгоритм Equihash был разработан учеными Университета Люксембурга и в апреле 2016 года интегрирован с Zcash для обеспечения безопасности, конфиденциальности и устойчивости к ASIC-майнингу.

Уязвимость связана с тем, как алгоритм производит вычисления, hdr означает заголовок блока, а soln отвечает за определение решений, добавляемых пользователями в Equihash. Однако алгоритм содержит ряд уязвимостей, позволяющих обходить реализованное в нем средство верификации для любого заголовка блока.

Proof-of-Work – алгоритм защиты распределенных систем от различных атак, предполагающий выполнение достаточно сложных и продолжительных задач. Эти задачи предназначены не для человека, а для компьютера и требуют больших вычислительных мощностей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle