Ахиллесова пята блокчейна: как валидаторы стали объектом угрозы на миллиард долларов

Исследователи провели углубленный анализ безопасности блокчейна, сосредоточив внимание на менее изученном аспекте — безопасности центральных серверов, известных как валидаторы, которые поддерживают сети блокчейна. Эти валидаторы были предоставлены InfStones, компанией, предлагающей услуги по размещению ставок на различных протоколах блокчейна.

Исследователи обнаружили цепочку уязвимостей, которые позволили им поставить под угрозу безопасность этих валидаторов. Исследовательская группа применила особый подход, рассматривая валидаторы блокчейна как обычные серверы и углубляясь в классические методы взлома.

Обнаруженные уязвимости не только предоставили контроль над этими валидаторами, но также позволили выполнять код и извлекать закрытые ключи, что потенциально могло привести к потерям, превышающим один миллиард долларов в различных криптовалютах, включая ETH, BNB, SUI и APT и других.

Они начали свое расследование с помощью блокчейн-сети Sui, известной своей надежной безопасностью. Используя вызов API в Sui Explorer, они получили список активных валидаторов и IP-адресов. Дальнейшее расследование привело их к конкретному серверу, управляемому InfStones, что вызвало их интерес.

На целевом сервере был открытый порт (55555/tcp), на котором работал инструмент Tailon с открытым исходным кодом, предназначенный для чтения файлов журналов. Воспользовавшись уязвимостью в Tailon, исследователи получили возможность удаленного выполнения кода (RCE) на валидаторе Sui.

Tailon работал как пользователь root, что давало исследователям значительные привилегии.

Они воспользовались этой начальной точкой входа и распространили атаку на другие серверы InfStones, используя аналогичную настройку. С помощью поиска Censys они выявили около 80 серверов с одним и тем же сервисом Tailon. Однако для доступа к некоторым серверам требовалась базовая аутентификация.

Чтобы преодолеть эту проблему, исследователи создали учетную запись на платформе InfStones и в ходе расследования обнаружили API, который действовал как прокси-сервер для подключения к Tailon. Настроив свой сервер и используя прокси, они получили учетные данные, которые позволили им аутентифицироваться на серверах, требующих базовой аутентификации.

Получив контроль над примерно 80 узлами, исследователи сообщили о первоначальной уязвимости InfStones в июле 2023 года. Во время исследования они обнаружили файлы учетных данных AWS на всех серверах, что указывает на то, что InfStones загружали двоичные файлы сети блокчейна из корзин S3.

Скомпрометированные учетные данные имели доступ к корзинам для чтения и записи, что позволяло потенциально манипулировать двоичными файлами.

Дальнейшее исследование выявило службу, работающую на порту 12345, под названием «infd». Исследователи определили, что эта служба запускалась от имени пользователя root, воспользовавшись уязвимостью внедрения команд на маршруте «обновления». Однако аутентификация JWT представляла собой проблему.

Исследователи обнаружили сервер со специальной настройкой CloudProvider, которая позволяла им обойти аутентификацию JWT и использовать уязвимость внедрения команд. Этот сервер был идентифицирован как валидатор InfStones Aptos, на который было поставлено около 150 миллионов долларов.

Воздействие этих уязвимостей было существенным. Злоумышленник, воспользовавшийся этими недостатками, может получить закрытые ключи валидаторов в различных сетях блокчейнов, что потенциально может привести к сокращению числа валидаторов, выводу поставленных средств или краже вознаграждений за стейкинг. Затронутые валидаторы представляли значительную часть сети Ethereum и Lido, крупного оператора в этой сфере.

Исследователи ответственно рассказали InfStones о своих выводах и сообщили о потенциальном влиянии уязвимостей. InfStones заявила, что устранила проблемы , и исследователи согласились отложить публичное раскрытие информации, чтобы дать время на исправление ошибок и ротацию ключей.

Lido DAO признала обнаруженную уязвимость и активно сотрудничает с InfoStones для решения выявленных проблем. Основное внимание уделяется устранению проблемы, конкретно связанной с узлами Ethereum в инфраструктуре InfoStones.

Несмотря на прогресс в решении проблем, связанных с Ethereum, остается неопределенность относительно степени воздействия на валидаторов Lido и другие сети, упомянутые в всеобъемлющем отчете dWallet. Совместные усилия направлены на тщательное расследование и смягчение любых потенциальных последствий, возникающих в результате уязвимостей.

Это исследование выявило пробел в подотчетности и ответственности, связанных с безопасностью валидаторов сети блокчейн. Хотя значительные ресурсы вкладываются в качество кода и безопасность смарт-контрактов, безопасность валидаторов часто считается выходящей за рамки программ вознаграждений, создавая потенциальную точку входа для злоумышленников.

Исследователи подчеркнули необходимость повышенного внимания к безопасности валидаторов, важнейших компонентов сетей блокчейнов.

С нетерпением жду

Пользователи могут предпринять несколько практических шагов для повышения безопасности своего участия в сетях и технологиях блокчейна. Прежде всего, крайне важно быть в курсе постоянно меняющейся ситуации в сфере безопасности сетей блокчейнов.

Следование авторитетным источникам, исследователям безопасности и организациям, регулярно обменивающимся информацией и обновлениями, поможет отдельным лицам и организациям избежать потенциальных рисков и уязвимостей.

Если вы участвуете в размещении или эксплуатации узлов в сетях блокчейнов, диверсификация ваших услуг валидатора является разумной стратегией. Использование одного поставщика услуг увеличивает риск уязвимостей или атак.

Кроме того, крайне важны регулярные проверки безопасности инфраструктуры. Эти проверки должны выходить за рамки оценки кода и смарт-контрактов и распространяться на безопасность валидаторов, поддерживающих сеть.

Внедрение многофакторной аутентификации (MFA) является еще одной важной мерой. Включение MFA для всех учетных записей и служб, связанных с операциями блокчейна, добавляет дополнительный уровень безопасности, снижая риск несанкционированного доступа.

Не менее важно обучение по вопросам безопасности для персонала, управляющего инфраструктурой блокчейна. Это гарантирует, что люди будут хорошо информированы о потенциальных угрозах, распространенных векторах атак и лучших методах обеспечения безопасности.

В случае обнаружения уязвимостей в сетях или сервисах блокчейна рекомендуется следовать принципам ответственного раскрытия информации. Своевременное уведомление затронутых сторон и сотрудничество с ними для решения проблем до их публичного раскрытия может свести к минимуму потенциальный вред.

Кроме того, жизненно важно регулярно проверять и проверять конфигурации облачных сервисов, используемых в операциях блокчейна. Сюда входит обеспечение безопасности служб, закрытие ненужных открытых портов и соответствующая настройка контроля доступа.

Признание решающей роли валидаторов в безопасности сетей блокчейнов имеет важное значение. Поощрение блокчейн-проектов и организаций к включению безопасности валидаторов в свои программы безопасности и инициативы по вознаграждению за ошибки могут внести значительный вклад в создание более безопасной экосистемы.

Также рекомендуется постоянный мониторинг необычных действий и несанкционированного доступа к узлам валидатора. Раннее обнаружение подозрительного поведения может предотвратить или минимизировать последствия инцидентов безопасности.

Наконец, поддержка инициатив, которые пропагандируют комплексные программы безопасности в пространстве блокчейнов и включение безопасности валидаторов в программы вознаграждений, будет способствовать эффективному устранению потенциальных уязвимостей.