- дата публікації
Litecoin стверджує, що його реорганізація на 13 блоків не була "нульовим днем", але історія комітів на GitHub свідчить про протилежне
- джерело
- сайт
- www.coindesk.com
- відкрити джерело
У п’ятницю ввечері та в суботу сталося 13-блокове перезавантаження мережі Litecoin, яке скасувало приблизно 32 хвилини активності після атаки, що використала вразливість у протоколі Mimblewimble Extension Block (MWEB).
Ця помилка дозволила здійснити атаку типу "відмова в обслуговуванні" на великі видобувні пули, що дало змогу недійсним транзакціям MWEB пройти через вузли, які не оновили своє програмне забезпечення, перш ніж найдовгий дійсний ланцюг коригував їх. Фонд Litecoin повідомив, що в неділю вранці вразливість була повністю усунена, і мережа працює нормально.
Проте, дослідники вказують на розбіжності в інформації на GitHub проекту Litecoin.
Дослідник безпеки bbsz, який співпрацює з групою екстреного реагування SEAL911, оприлюднив хронологію виправлень, вказуючи на те, що вразливість консенсусу була усунена між 19 та 26 березня, а незалежна вразливість "відмови в обслуговуванні" була виправлена 25 квітня, в той же день, коли уже сталася атака. Блокчейн-дані показують, що зловмисник заздалегідь поповнив гаманця за 38 годин до атаки через виведення з Binance, причому адреса вже була налаштована на обмін $LTC на ETH на децентралізованій біржі.
Дослідник вважає, що атака "відмови в обслуговуванні" та помилка у MWEB були окремими компонентами, метою яких було вивести з ладу виправлені вузли, щоб недоопрацьовані сформували ланцюг з недійсними транзакціями. Фактично, після зупинки атаки мережа автоматично провела 13-блокове перезавантаження, що вказує на те, що достатня потужність хешування працювала з оновленим кодом, але лише після 32 хвилин, впродовж яких працювала уразлива версія.
Зловмисник активно скористався вразливістю, що вказує на відмінності в реакціях розробників і координаторів мереж при атаках.
Фонд Litecoin поки не коментував дані з GitHub.
Сума $LTC, що була задіяна під час періоду недійсних блоків, а також вартість будь-яких завершених свопів до перезавантаження не були розкриті.