Обнаружены уязвимости блокчейн-блатформы EOS, включая критический RCE-баг - «Новости»
sitename
Утечка цены GTA VI напугала игроков, но авторитетный инсайдер всех успокоил - «Новости сети»
Утечка цены GTA VI напугала игроков, но авторитетный инсайдер всех успокоил - «Новости сети»
 Valve подшутила над датамайнерами Half-Life 3 - «Новости сети»
Valve подшутила над датамайнерами Half-Life 3 - «Новости сети»
 Спорткар Xiaomi YU7 GT потратил на прохождение трассы Нюрбургринг без вмешательства водителя чуть более 10 минут - «Новости сети»
Спорткар Xiaomi YU7 GT потратил на прохождение трассы Нюрбургринг без вмешательства водителя чуть более 10 минут - «Новости сети»
 Роботы впервые обошли людей по численности в штате компании Figure AI - «Новости сети»
Роботы впервые обошли людей по численности в штате компании Figure AI - «Новости сети»
 При Джоне Тернусе у руля былое влияние дизайнеров Apple будет восстановлено - «Новости сети»
При Джоне Тернусе у руля былое влияние дизайнеров Apple будет восстановлено - «Новости сети»
 Получившие ранний доступ к Mythos клиенты Anthropic сохранили его даже после недавней блокировки - «Новости сети»
Получившие ранний доступ к Mythos клиенты Anthropic сохранили его даже после недавней блокировки - «Новости сети»
 Первые за год новые кадры из GTA VI впечатлили фанатов детализацией - «Новости сети»
Первые за год новые кадры из GTA VI впечатлили фанатов детализацией - «Новости сети»
 Путешествие в Бангкок c HUAWEI Mate 80 Pro или сказ про то, как бизнес-смартфон превращается в тревел-фотокамеру - «Новости сети»
Путешествие в Бангкок c HUAWEI Mate 80 Pro или сказ про то, как бизнес-смартфон превращается в тревел-фотокамеру - «Новости сети»
 Учёные создали настолько чёрную автомобильную краску, что она воспринимается как дыра в реальности - «Новости сети»
Учёные создали настолько чёрную автомобильную краску, что она воспринимается как дыра в реальности - «Новости сети»
 Власти США подозревают, что передовое EUV-оборудование ASML для производства чипов могло попасть в Китай - «Новости сети»
Власти США подозревают, что передовое EUV-оборудование ASML для производства чипов могло попасть в Китай - «Новости сети»
Новости мира Интернет » Новости » Обнаружены уязвимости блокчейн-блатформы EOS, включая критический RCE-баг - «Новости»

✔Обнаружены уязвимости блокчейн-блатформы EOS, включая критический RCE-баг - «Новости»

29 мая 2018 800 Новости 0

Специалисты китайской ИБ-компании Qihoo 360 сообщили об обнаружении «серии эпических уязвимостей» в блокчен-платформе EOS. Одна из проблем была признана критической, так как позволяла атакующему перехватить контроль над сетевыми нодами EOS.





Наиболее опасная из обнаруженных проблем была обнаружена в функциональности, которую ноды используют для парсинга контрактов. Баг связан с записью за пределы буфера. Исследователи выяснили, что для эксплуатации проблемы атакующему достаточно загрузить вредоносный WASM-файл (файл смарт-контракта), написанный на WebAssembly, после чего злоумышленник сможет выполнить на целевой ноде произвольный код.


Дело в том, что как только уязвимый парсер доберется до вредоносного контракта WASM, созданного атакующим, пейлоад будет выполнен, а это позволяет даже перехватить контроль над супернодами в сети EOS , которые отвечают за сбор информации о транзакциях и «упаковывают» эти данные в блоки. После того как вредоносный контракт будет включен в новый блок, все полные ноды (включая бэкап, кошельки и так далее) также становятся подвержены атаке.


Исследователи поясняют, что получив такой доступ, злоумышленник волен делать практически все, что ему вздумается. Например, он может сделать ноду EOS частью ботнета, заставить ее участвовать в кибератаке, или стать майнером, добывая любые криптовалюты.


Специалисты Qihoo 360 утверждают, что уведомили обо всех найденных проблемах команду проекта EOS, и разработчики уже устранили обнаруженные баги, а также обещали не запускать основную сеть вплоть до полного устранения уязвимостей.



EOS – блочейн-платформа с использованием протокола делегированного доказательства доли (DPOS). Блокчейн-архитектура проекта предназначена для вертикального и горизонтального масштабирования децентрализованных приложений. Равно как и Ethereum, EOS – платформа для хостинга смарт-контрактов (для проектов с открытым исходным кодом и децентрализованных приложений ориентированных на потребителя, DApps).




Источник новостиgoogle.com

Специалисты китайской ИБ-компании Qihoo 360 сообщили об обнаружении «серии эпических уязвимостей» в блокчен-платформе EOS. Одна из проблем была признана критической, так как позволяла атакующему перехватить контроль над сетевыми нодами EOS. 1/ Chinese Internet security giant 360 has found

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS, контроль атакующему децентрализованных вредоносный также
запостил(а)
Goldman
Вернуться назад
-1

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация