Péter Szilágyiは2022年3月29日、AvalancheのPeerListパッケージに悪意ある行為者に容易に悪用されるであろうバグを特定しました
。
イーサリアム開発者のPéter Szilágyi氏は、彼が見つけたAvalancheのバグがネットワーク全体をクラッシュさせていたであろうことを詳細に説明した脆弱性レポートを公開しました。
Péter Szilágyi氏は2022年3月29日、AvalancheのPeerListパッケージに、悪意のある行為者が容易に悪用できるバグを発見しました。彼はAvalancheの開発チームに連絡を取り、彼らはすぐにその脆弱性にパッチを適用しました。
2022年3月29日の私のAvalanche脆弱性レポートを公開することで、コストをかけずにネットワーク全体をダウンさせることができた。
この問題はずっと前に修正され、最新のアバランチ・ハードフォークでは、すべてのノードでパッチが適用されたソフトウェアが実行されています。
Njoy 🙂https://t.co/nokedKF7IZ
– Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 8, 2022
PeerListの脆弱性
。
Avalancheネットワークは、ノードバリデータによってのみ送信可能なPeerListパッケージを使用して通信を行う。Szilágyi氏は、この脆弱性は、攻撃者がバリデータノードになるために必要な2000個のAVAXトークンを取得し、ネットワーク上のノードに悪意のあるPeerListパッケージを送信するために必要であると説明しています。
Szilágyiの説明:
」。
ネットワーク上のすべてのノードはすべてのバリデータに接続しているため、ネットワーク全体が即死するようなものです」
。
彼はこう付け加えた:
「価格はもちろん2000AVAXですが、私はそれを許容できると思います。
2022年3月現在、アバランチ・ネットワークの時価総額は240億ドル以上と推定される。悪意のある攻撃者に脆弱性を乗っ取られた場合、エコシステムのクラッシュは致命的なものとなっていたでしょう。
アバランチのバグとの戦い
」。
2021年2月にAvalancheでDeFiプロトコルPangolinを立ち上げた際、ネットワークは “クロスチェーン最終 “バグに見舞われ、”自己回復モード “に入ることを余儀なくされました。
Avalancheはネットワーク負荷が高く、一部のバリデーターが無効なミントトランザクションを受け入れてしまうという事態に陥った。その結果、ネットワークは数時間の間、すべての取引を停止しなければならなかった。開発者はすぐにこの問題を修正し、保留中の取引をすべて完了させた
。
