Die Forscher führten eine eingehende Analyse der Blockchain-Sicherheit durch und konzentrierten sich dabei auf einen weniger erforschten Aspekt – die Sicherheit der zentralen Server, sogenannte Validatoren, die Blockchain-Netzwerke unterstützen. Diese Validatoren wurden von InfStones bereitgestellt, einem Unternehmen, das Absteckdienste für verschiedene Blockchain-Protokolle anbietet.
Die Forscher entdeckten eine Reihe von Schwachstellen, die es ihnen ermöglichten, die Sicherheit dieser Validatoren zu gefährden. Das Forschungsteam verfolgte einen besonderen Ansatz, indem es Blockchain-Validatoren als herkömmliche Server behandelte und sich mit klassischen Hacking-Techniken beschäftigte.
Die aufgedeckten Schwachstellen ermöglichten nicht nur die Kontrolle über diese Validatoren, sondern ermöglichten auch die Ausführung von Code und die Extraktion privater Schlüssel, was möglicherweise zu Verlusten von über einer Milliarde Dollar in verschiedenen Kryptowährungen, darunter ETH, BNB, SUI und APT, führen könnte.
Sie leiteten ihre Untersuchung beim Sui-Blockchain-Netzwerk ein, das für seine robuste Sicherheit bekannt ist. Mithilfe eines API-Aufrufs im Sui Explorer erhielten sie eine Liste aktiver Validatoren und IP-Adressen. Weitere Nachforschungen führten sie zu einem bestimmten, von InfStones verwalteten Server, was ihr Interesse weckte.
Der Zielserver verfügte über einen offenen Port (55555/tcp), auf dem ein Open-Source-Tailon-Tool zum Lesen von Protokolldateien ausgeführt wurde. Durch Ausnutzung einer Schwachstelle in Tailon erlangten die Forscher Remote Code Execution (RCE) auf dem Sui-Validator.
Tailon lief als Root-Benutzer, was den Forschern erhebliche Privilegien einräumte.
Sie nutzten diesen ersten Einstiegspunkt aus und weiteten ihren Angriff mit einem ähnlichen Setup auf andere InfStones-Server aus. Durch eine Censys-Suche identifizierten sie fast 80 Server mit demselben Tailon-Dienst. Einige Server erforderten jedoch eine Basisauthentifizierung für den Zugriff.
Um dieses Problem zu lösen, erstellten die Forscher ein Konto auf der InfStones-Plattform und entdeckten bei ihrer Untersuchung eine API, die als Proxy für die Verbindung zu Tailon fungierte. Durch die Einrichtung ihres Servers und die Verwendung des Proxys erhielten sie Anmeldeinformationen, die es ihnen ermöglichten, sich auf Servern zu authentifizieren, die eine Basisauthentifizierung erfordern.
Nachdem sie die Kontrolle über rund 80 Knoten erlangt hatten, meldeten die Forscher im Juli 2023 InfStones die erste Schwachstelle. Bei ihrer Erkundung fanden sie AWS-Anmeldedatendateien auf allen Servern, was darauf hindeutet, dass InfStones Blockchain-Netzwerk-Binärdateien aus S3-Buckets heruntergeladen hat.
Die kompromittierten Anmeldeinformationen hatten Lesezugriff auf die Buckets und Schreibzugriff, was eine mögliche Manipulation der Binärdateien ermöglichte.
Bei weiteren Untersuchungen wurde ein auf Port 12345 laufender Dienst mit dem Namen „infd“ entdeckt. Die Forscher stellten fest, dass dieser Dienst als Root-Benutzer ausgeführt wurde, indem sie eine Schwachstelle durch Befehlsinjektion auf der „Upgrade“-Route ausnutzten. Allerdings stellte die JWT-Authentifizierung eine Herausforderung dar.
Die Forscher entdeckten einen Server mit einer bestimmten CloudProvider-Einstellung, die es ihnen ermöglichte, die JWT-Authentifizierung zu umgehen und die Schwachstelle durch Befehlsinjektion auszunutzen. Dieser Server wurde als InfStones Aptos-Validator identifiziert, der etwa 150 Millionen Dollar einsetzte.
Die Auswirkungen dieser Schwachstellen waren erheblich. Ein Angreifer, der diese Schwachstellen ausnutzt, könnte an die privaten Schlüssel von Validatoren in verschiedenen Blockchain-Netzwerken gelangen, was möglicherweise zur Zerstörung von Validatoren, zum Abzug eingesetzter Gelder oder zum Diebstahl von Einsatzprämien führen könnte. Die betroffenen Validatoren repräsentierten einen erheblichen Teil des Ethereum-Netzwerks und Lido, einen wichtigen Betreiber in diesem Bereich.
Die Forscher haben InfStones ihre Ergebnisse verantwortungsbewusst offengelegt und die möglichen Auswirkungen der Schwachstellen kommuniziert. InfStones behauptete, die Probleme behoben zu haben , und die Forscher einigten sich darauf, die öffentliche Offenlegung zu verschieben, um Zeit für Behebungsbemühungen und Schlüsselrotation zu schaffen.
Lido DAO hat die gemeldete Schwachstelle erkannt und arbeitet aktiv mit InfoStones zusammen, um die identifizierten Probleme zu beheben. Der Schwerpunkt liegt auf der Behebung des Problems, das speziell mit Ethereum-Knoten innerhalb der Infrastruktur von InfoStones zusammenhängt.
Während bei der Bewältigung der Ethereum-bezogenen Bedenken Fortschritte erzielt werden, besteht weiterhin Unsicherheit hinsichtlich des Ausmaßes der Auswirkungen auf die Validatoren von Lido und andere Netzwerke, die im umfassenden Bericht von dWallet erwähnt werden. Die gemeinsame Anstrengung zielt darauf ab, alle potenziellen Auswirkungen, die sich aus den Schwachstellen ergeben, gründlich zu untersuchen und abzumildern.
Diese Studie zeigte eine Lücke in der Rechenschaftspflicht und Verantwortung im Zusammenhang mit der Sicherheit von Blockchain-Netzwerkvalidatoren auf. Während erhebliche Ressourcen in die Qualität des Codes und die Sicherheit intelligenter Verträge investiert werden, wird die Sicherheit von Validatoren häufig als außerhalb des Anwendungsbereichs von Bounty-Programmen betrachtet, was einen potenziellen Einstiegspunkt für Angreifer darstellt.
Die Forscher betonten die Notwendigkeit, sich stärker auf die Sicherheit von Validatoren zu konzentrieren, die entscheidende Komponenten von Blockchain-Netzwerken sind.
Benutzer können mehrere umsetzbare Schritte unternehmen, um die Sicherheit ihrer Beteiligung an Blockchain-Netzwerken und -Technologien zu erhöhen. In erster Linie ist es wichtig, über die sich ständig weiterentwickelnde Sicherheitslandschaft von Blockchain-Netzwerken auf dem Laufenden zu bleiben.
Das Befolgen seriöser Quellen, Sicherheitsforscher und Organisationen, die regelmäßig Erkenntnisse und Aktualisierungen austauschen, hilft Einzelpersonen und Organisationen, potenzielle Risiken und Schwachstellen zu vermeiden.
Wenn Sie an der Absteckung oder dem Betrieb von Knoten in Blockchain-Netzwerken beteiligt sind, ist die Diversifizierung Ihrer Validierungsdienste eine kluge Strategie. Sich auf einen einzigen Dienstleister zu verlassen, erhöht das Risiko von Schwachstellen oder Angriffen.
Darüber hinaus sind regelmäßige Sicherheitsaudits der Infrastruktur unerlässlich. Diese Audits sollten über die Bewertung von Code und Smart Contracts hinausgehen und sich auch auf die Sicherheit der Validatoren erstrecken, die das Netzwerk unterstützen.
Die Implementierung der Multi-Faktor-Authentifizierung (MFA) ist eine weitere wichtige Maßnahme. Durch die Aktivierung von MFA für alle Konten und Dienste im Zusammenhang mit Blockchain-Vorgängen wird eine zusätzliche Sicherheitsebene hinzugefügt und das Risiko eines unbefugten Zugriffs verringert.
Ebenso wichtig ist die Schulung des Sicherheitsbewusstseins für das Personal, das die Blockchain-Infrastruktur verwaltet. Es stellt sicher, dass Einzelpersonen über potenzielle Bedrohungen, häufige Angriffsvektoren und die besten Sicherheitspraktiken gut informiert sind.
Im Falle der Entdeckung von Schwachstellen in Blockchain-Netzwerken oder -Diensten ist es ratsam, verantwortungsvolle Offenlegungspraktiken zu befolgen. Durch die unverzügliche Benachrichtigung der betroffenen Parteien und die Zusammenarbeit mit ihnen zur Behebung der Probleme vor der Veröffentlichung können potenzielle Schäden minimiert werden.
Darüber hinaus ist die regelmäßige Überprüfung und Prüfung der Konfigurationen von Cloud-Diensten, die im Blockchain-Betrieb verwendet werden, von entscheidender Bedeutung. Dazu gehört das Sichern von Diensten, das Schließen unnötiger offener Ports und die entsprechende Konfiguration von Zugriffskontrollen.
Es ist von entscheidender Bedeutung, die entscheidende Rolle von Validatoren für die Sicherheit von Blockchain-Netzwerken zu erkennen. Die Ermutigung von Blockchain-Projekten und -Organisationen, Validatorsicherheit in ihre Sicherheitsprogramme und Bug-Bounty-Initiativen einzubeziehen, kann erheblich zu einem sichereren Ökosystem beitragen.
Eine kontinuierliche Überwachung auf ungewöhnliche Aktivitäten und unbefugten Zugriff auf Validator-Knoten wird ebenfalls empfohlen. Die frühzeitige Erkennung verdächtigen Verhaltens kann die Auswirkungen von Sicherheitsvorfällen verhindern oder minimieren.
Schließlich wird die Unterstützung von Initiativen, die sich für umfassende Sicherheitsprogramme im Blockchain-Bereich und die Einbeziehung der Validatorsicherheit in Bounty-Programme einsetzen, dazu beitragen, potenzielle Schwachstellen effektiv zu beheben.