Le talon d'Achille de la blockchain : comment les validateurs sont devenus la cible d'une menace d'un milliard de dollars

Les chercheurs ont mené une analyse approfondie de la sécurité de la blockchain, en se concentrant sur un aspect moins exploré : la sécurité des serveurs centraux, appelés validateurs, qui prennent en charge les réseaux blockchain. Ces validateurs ont été fournis par InfStones, une société proposant des services de jalonnement sur divers protocoles blockchain.

Les chercheurs ont découvert une chaîne de vulnérabilités qui leur ont permis de compromettre la sécurité de ces validateurs. L’équipe de recherche a adopté une approche distincte, traitant les validateurs de blockchain comme des serveurs conventionnels et se plongeant dans les techniques de piratage classiques.

Les vulnérabilités découvertes ont non seulement permis de contrôler ces validateurs, mais ont également permis l'exécution de code et l'extraction de clés privées, entraînant potentiellement des pertes dépassant le milliard de dollars dans diverses crypto-monnaies, notamment ETH, BNB, SUI et APT .

Ils ont lancé leur enquête auprès du réseau blockchain Sui, connu pour sa sécurité robuste. À l’aide d’un appel API sur Sui Explorer, ils ont obtenu une liste de validateurs actifs et d’adresses IP. Une enquête plus approfondie les a conduits à un serveur spécifique géré par InfStones, ce qui a éveillé leur intérêt.

Le serveur ciblé disposait d'un port ouvert (55555/tcp) exécutant un outil open source Tailon, conçu pour lire les fichiers journaux. En exploitant une vulnérabilité dans Tailon, les chercheurs ont obtenu l'exécution de code à distance (RCE) sur le validateur Sui.

Tailon fonctionnait en tant qu'utilisateur root, donnant aux chercheurs des privilèges importants.

Ils ont exploité ce point d'entrée initial et étendu leur attaque à d'autres serveurs InfStones en utilisant une configuration similaire. Grâce à une recherche Censys, ils ont identifié près de 80 serveurs avec le même service Tailon. Cependant, certains serveurs nécessitaient une authentification de base pour l'accès.

Pour surmonter ce problème, les chercheurs ont créé un compte sur la plateforme InfStones et, grâce à leur enquête, ont découvert une API qui faisait office de proxy de connexion à Tailon. En configurant leur serveur et en utilisant le proxy, ils ont obtenu des informations d'identification qui leur ont permis de s'authentifier sur des serveurs nécessitant une authentification de base.

Après avoir pris le contrôle d'environ 80 nœuds, les chercheurs ont signalé la vulnérabilité initiale d'InfStones en juillet 2023. Ils ont trouvé des fichiers d'informations d'identification AWS sur tous les serveurs au cours de leur exploration, indiquant qu'InfStones avait téléchargé les binaires du réseau blockchain à partir des compartiments S3.

Les informations d'identification compromises disposaient d'un accès en lecture aux compartiments et d'un accès en écriture, permettant une manipulation potentielle des fichiers binaires.

Une exploration plus approfondie a révélé un service fonctionnant sur le port 12345 nommé « infd ». Les chercheurs ont identifié que ce service fonctionnait en tant qu'utilisateur root en exploitant une vulnérabilité d'injection de commandes dans la route « mise à niveau ». Cependant, l’authentification JWT représentait un défi.

Les chercheurs ont découvert un serveur avec un paramètre CloudProvider spécifique qui leur permettait de contourner l'authentification JWT et d'exploiter la vulnérabilité d'injection de commandes. Ce serveur a été identifié comme étant le validateur InfStones Aptos, qui a misé environ 150 millions de dollars.

L’impact de ces vulnérabilités a été considérable. Un attaquant exploitant ces failles pourrait acquérir les clés privées des validateurs sur divers réseaux blockchain, conduisant potentiellement à la réduction des validateurs, au retrait des fonds mis en jeu ou au vol des récompenses de mise. Les validateurs concernés représentaient une partie importante du réseau Ethereum et du Lido, un opérateur majeur dans l'espace.

Les chercheurs ont divulgué leurs découvertes de manière responsable à InfStones et ont communiqué l'impact potentiel des vulnérabilités. InfStones a affirmé avoir résolu les problèmes et les chercheurs ont accepté de retarder la divulgation publique afin de laisser le temps aux efforts de remédiation et à la rotation des clés.

Lido DAO a reconnu la vulnérabilité signalée et collabore activement avec InfoStones pour résoudre les problèmes identifiés. L'accent est mis sur la résolution du problème spécifiquement lié aux nœuds Ethereum au sein de l'infrastructure d'InfoStones.

Bien que des progrès soient réalisés pour répondre aux préoccupations liées à Ethereum, des incertitudes subsistent quant à l'étendue de l'impact sur les validateurs du Lido et d'autres réseaux mentionnés dans le rapport complet de dWallet. Cet effort de collaboration vise à enquêter en profondeur et à atténuer toutes les répercussions potentielles découlant des vulnérabilités.

Cette étude a mis en évidence une lacune dans la responsabilisation et la responsabilité liées à la sécurité des validateurs de réseaux blockchain. Alors que des ressources considérables sont investies dans la qualité du code et la sécurité des contrats intelligents, la sécurité des validateurs est souvent considérée comme hors du champ d'application des programmes de primes, créant ainsi un point d'entrée potentiel pour les attaquants.

Les chercheurs ont souligné la nécessité de se concentrer davantage sur la sécurité des validateurs, composants cruciaux des réseaux blockchain.

Avoir hâte de

Les utilisateurs peuvent prendre plusieurs mesures concrètes pour améliorer la sécurité de leur implication dans les réseaux et technologies blockchain. Avant tout, il est crucial de rester informé du paysage de sécurité en constante évolution des réseaux blockchain.

Suivre des sources réputées, des chercheurs en sécurité et des organisations partageant régulièrement des informations et des mises à jour aidera les individus et les organisations à éviter les risques et vulnérabilités potentiels.

Si vous êtes impliqué dans le jalonnement ou l'exploitation de nœuds sur des réseaux blockchain, diversifier vos services de validation est une stratégie prudente. S'appuyer sur un seul fournisseur de services augmente le risque de vulnérabilités ou d'attaques.

De plus, des audits de sécurité réguliers de l’infrastructure sont essentiels. Ces audits devraient aller au-delà de l’évaluation du code et des contrats intelligents, et s’étendre à la sécurité des validateurs soutenant le réseau.

La mise en œuvre de l’authentification multifacteur (MFA) est une autre mesure essentielle. L'activation de l'authentification multifacteur sur tous les comptes et services liés aux opérations blockchain ajoute une couche de sécurité supplémentaire, atténuant le risque d'accès non autorisé.

La formation à la sécurité du personnel gérant l’infrastructure blockchain est tout aussi importante. Il garantit que les individus sont bien informés des menaces potentielles, des vecteurs d’attaque courants et des meilleures pratiques de sécurité.

En cas de découverte de vulnérabilités dans les réseaux ou services blockchain, il est conseillé de suivre des pratiques de divulgation responsable. Informer rapidement les parties concernées et collaborer avec elles pour résoudre les problèmes avant la divulgation publique peut minimiser les dommages potentiels.

De plus, il est essentiel d’examiner et d’auditer régulièrement les configurations des services cloud utilisés dans les opérations blockchain. Cela inclut la sécurisation des services, la fermeture des ports ouverts inutiles et la configuration appropriée des contrôles d'accès.

Il est essentiel de reconnaître le rôle essentiel des validateurs dans la sécurité des réseaux blockchain. Encourager les projets et les organisations blockchain à inclure la sécurité des validateurs dans leurs programmes de sécurité et leurs initiatives de bug bounty peut contribuer de manière significative à un écosystème plus sécurisé.

Une surveillance continue des activités inhabituelles et des accès non autorisés sur les nœuds de validation est également recommandée. La détection précoce des comportements suspects peut prévenir ou minimiser l'impact des incidents de sécurité.

Enfin, soutenir les initiatives qui préconisent des programmes de sécurité complets dans l’espace blockchain et l’inclusion de la sécurité des validateurs dans les programmes de primes contribuera à remédier efficacement aux vulnérabilités potentielles.