- براساس گزارشات افشاء آسیبپذیری منتشر شده در پلتفرم HackerOne، اخیرا محققان توانستهاند یک آسیبپذیری بحرانی در شبکهی ترون(Tron) کشف کنند. گفته میشود که مهاجم میتواند با استفاده از یک رایانهی شخصی و ایجاد حملات انکار سرویس توزیع شده تا DDos تمام قدرت بلاکچین ترون را به خود اختصاص داده و باعث غیرفعال شدن و یا غیرقابل دسترس شدن این شبکهی ۱/۶ میلیارد دلاری شود.
کشف آسیبپذیری جدید ترون
اخیرا یک محقق توانسته یک مشکل بحرانی کشف کند که یک به راحتی با استفاده از یک رایانهی شخصی و حملات انکار سرویس توزیع شده(یا DDoS) میتواند بلاکچین ۱/۶ میلیارد دلاری ترون را زمینگیر کند. با توجه به گزارشات منتشر شده در پلتفرم HackerOne، یک حملهی بالقوه از نوع DDos به بلاکچین ترون میتواند تمام منابع محاسباتی آن را مصرف کرده و عملا آن را از کار بیاندازد.
به عنوان مثال این حملات بالقوه میتوانند شامل استقرار یک قرارداد هوشمند مجهز به کدهای مخرب، توسط هکر باشد.
در بخشهایی از این گزارش آمده است:
تنها با استفاده از یک رایانه، مهاجم میتواند به واسطهی حملات DDoS به همه و یا تنها ۵۱ درصد از گرههای شبکهی ترون، این شبکه را غیرقابل استفاده و یا غیرقابل دسترس کند. HackerOne Disclosure Report
براساس گزارشات قبلی، یک نقض در کیفپول ترون اجازه میداد که یک رایانهی شخصی به راحتی تمام حافظهی شبکهی ترون را در اختیار گرفته و باعث اختلال در عملکرد این شبکه شود. این باگ یا مشکل نرمافزار ابتدا در ۱۴ام ژانویه کشف شد و در روز ۱ام فوریه به محقق کاشف آن ۱۵۰۰ دلار جایزه پرداخت شد.
پرداخت جایزه در مقابل کشف آسیبپذیری
با توجه به همین گزارشات، یک جایزهی ۳۱۰۰ دلاری دیگر نیز پرداخت شده است، اما بنیاد ترون هیچ اطلاعات یا جزئیاتی در رابطه با نقض و مشکل کشف شده ارائه نکرده است. با گذشت زمان جوایز پرداخت شده در پلتفرم HackerOne به یک استاندارد صنعتی تبدیل شدهاند. طبق آمار، بنیاد ترون تا به امروز برای ۱۵ گزارشات مختلف بیش از ۷۸۸۰۰ دلار پاداش به محققان پرداخت کرده است.
بالاترین رقمی که توسط ترون به عنوان پاداش در این پلتفرم اهدا شده است، مبلغ ۱۰ هزار دلار میباشد. با این حال به نظر میرسد که صرافی Coinbase با پرداخت ۳۰ هزار دلار به یک محقق در ازای کشف یک آسیبپذیری بحرانی، توانسته در این مورد رکورددار باشد. این آسیبپذیری اوایل سال جاری کشف شد و صرافی مذکور هم هیچ اطلاعاتی در رابطه با آن ارائه نکرد.
دریافت جایزه به واسطهی کشف مشکلات پلتفرم مرتبط با صنعت رمزارزی، امروزه به یک کسب و کار پر سود تبدیل شده است. دادهها حاکی از آن است که کمپانیهای بلاکچینی سال گذشته «حداقل» ۳هزار گزارش نقض امنیتی دریافت کرده و به محققین نیز برای کشف این مشکلات، نزدیک به ۹۰۰ هزار دلار پاداش پرداخت کردهاند.
در ماه مارس سال جاری نیز ۴۳ گزارش آسیبپذیری مختلف برای شرکتهای مرتبط با فناوری بلاکچین فرستاده شده است. برخی از این آسیبپذیریها در شبکه بزرگترین رمزارزهای بازار رمزارزی از جمله Brave، EOS و مونرو کشف شدهاند.
نظر شما در رابطه با این آسیبپذیری چیست؟ آیا با وجود چنین مشکلات اساسی در شبکهی ترون، باز هم میتوان به آن اعتماد کرد؟ نظرات خود را با ما به اشتراک بگذارید.
