Verge (XVG) lider af et alvorligt minenetværksangreb

Verge (XVG), den fortrolige cryptocurrency, led et frygtet 51% netværksangreb i dag.

Dette var ifølge en meget respekteret minearbejder og administratoren af ​​Suprnova-minedriften. Opdagelsen blev lagt ud i en BitcoinTalk forumindlæg hvor han detaljerede, at den ondsindede minearbejder var i stand til at udnytte fejl i retargeting af XVG-kode.

Dette tillod minearbejderen at udvinde en XVG-blok en gang hvert sekund inden for en tidsperiode på tre timer tidligere i morges. I det øjeblik plakaten (OCMiner) nævnte angrebet, stoppede den ondsindede minearbejder sin pool.

Så hvad sker der nøjagtigt med Verge?

Forfalskning af tidsstempel

Verge mining er lidt unik, idet hver Verge-blok udvindes i henhold til en anden algoritme. Så for eksempel vil en blok blive udvundet med Scrypt og den anden med blake osv.

IQ Option handel kreditkort

Verge-protokollen kontrollerer den forrige blok for at bekræfte, hvilken algoritme der blev brugt. Men givet en fejl i Verge-koden, kan minearbejderen indsende blokke med falske tidsstempler. Minearbejderen er derfor i stand til at narre algoritmen til at tro, at den sidste blok, der blev udvundet, var for over en time siden.

Ifølge OCMiner:

Din næste blok, den efterfølgende blok, vil så have det rigtige tidspunkt … Og da det allerede er for en time siden (i det mindste det er hvad netværket synes), vil det tillade, at denne blok også føjes til hovedkæden

Han sendte derefter en oversigt over alle de blokke, som minearbejderen var i stand til at indsende. De fulgte alle hinanden, men havde forskellige tidsstempler. Blokken med det falske tidsstempel var umiddelbart før en korrekt tidsbestemt blok. Resultatet af denne udnyttelse var, at hackeren var i stand til at udvinde en blok en gang hvert sekund.

Der var også andre minearbejdere der nævnte problemer, de havde minedrift i det pågældende vindue. OCminer linkede også til et antal adresser, der blev brugt til at aflaste de udvindede mønter. Der var uden tvivl mange flere.

Svar fra Verge

Da Verge-udviklerne blev opmærksom på dette, hævdede de først, at der ikke var noget at rette. Efter den klare demonstration af angrebet skubbede de imidlertid en ”rette op”Og udsendte et tweet.


Selvfølgelig var der mange i Verge-samfundet, der ikke tog venligt indlægget på Bitcointalk. De svarede på det oprindelige indlæg med de sædvanlige prognoser for “FUD” og nogen, der forsøgte at “afhente” billige Verge-mønter.

Dette er faktisk uheldigt, da pooloperatøren faktisk hjalp samfundet ud. Ved at spotte netværksangrebet tidligt og bringe dækning til det lykkedes det ham at få angriberen til at tænke sig om to gange. Desuden gav det nyttige oplysninger til Verge Devs for at rette udnyttelsen.

Mere problemer for randen?

Dette kommer på et tidspunkt, hvor mening om Verge er meget splittet. Der er die hard tilhængere af “vergefam” fænomenet, der mener, at det legitimt kunne være den næste store fortrolighedsbevidste kryptokurrency.

Der er dog mange andre, der i bedste fald ser den taktik, som Verge for nylig har brugt, som tvivlsom. For eksempel sendte Verge-teamet kun sidste uge en anmodning om fundraising for at skaffe flere penge til at sikre en “hemmelig aftale”.

Til sidst lykkedes det at skaffe de nødvendige midler og har nu flyttet meddelelsesdatoen til den 17. april. Dette har skabt en hel del spekulation og faktisk forvirring fra begge sider af kløften.

Som minerangrebet viser, er der stadig nogle teknologiske udfordringer for Verge at overvinde, hvis de virkelig vil påtage sig mere etablerede kryptokurver. Man kan kun håbe, at ingen yderligere udnyttelser opdages.

Opdateret 22. maj

Det choker muligvis ingen at høre, at Verge-angriberen var i stand til at finde en vej rundt om den mindre patch, der blev implementeret af Devs. Og de har brugt dette til at prægede millioner af flere XVG.

OC minearbejder, den samme person, der så den oprindelige sårbarhed, bragte brugernes opmærksomhed på den Bitcointalk.

I dette tilfælde brugte angriberne kun to algoritmer i stedet for en. Derefter var han i stand til at forkæle kæden ved at leje hashkraft til disse to algoritmer.

Hacker bruger stadig den samme tidsstempel spoofing, der vil påvirke vanskelighedsjusteringerne på netværket. Forvent denne gang, han bruger ikke kun scrypt, men også lyra2re.

I skrivende stund var den ondsindede minearbejder i stand til at udvinde blokke 2155850 til 2206272, hvilket er ca. 35m XVG. Dette svarer til cirka $ 1,7 mio., Som hackeren var i stand til at tjene igen.

Hvad gjorde udviklerne ved det?

De stemplede det blot som et “igangværende DDOS” -angreb med ikke så meget mere forklaring. De har dog brugt muligheden for at forklare, at de vil udrulle en fuldstændig opdateret kodebase.

Verge Hack ny kodebase

Selvom noget ser ud til at være gjort, vil mange sige, at det er for lidt for sent. Selv om Verge har gjort meget i markedsføringen med partnerskaber som PornHub, forbliver de grundlæggende mangler.

Hvis udviklerne er i stand til at frigive en helt ny codebase, og de bruger en streng peer review, er det muligt, at de kan komme sig.

Men som mange ville sige: Nar mig en gang, skam mig, nar mig to gange, skam dig …

Fremhævet billede via Fotolia

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map