O calcanhar de Aquiles do Blockchain: como os validadores se tornaram alvo de uma ameaça de bilhões de dólares

Os pesquisadores conduziram uma análise aprofundada da segurança do blockchain, concentrando-se em um aspecto menos explorado – a segurança dos servidores centrais, conhecidos como validadores, que suportam redes blockchain. Esses validadores foram fornecidos pela InfStones, uma empresa que oferece serviços de staking em vários protocolos blockchain.

Os pesquisadores descobriram uma cadeia de vulnerabilidades que lhes permitiu comprometer a segurança desses validadores. A equipe de pesquisa adotou uma abordagem distinta, tratando os validadores de blockchain como servidores convencionais e investigando técnicas clássicas de hacking.

As vulnerabilidades descobertas não só concederam controle sobre esses validadores, mas também permitiram a execução de código e extração de chaves privadas, levando potencialmente a perdas superiores a um bilhão de dólares em diversas criptomoedas, incluindo ETH, BNB, SUI e APT, entre outras.

Eles iniciaram sua investigação com a rede blockchain Sui, conhecida por sua segurança robusta. Usando uma chamada de API no Sui Explorer, eles obtiveram uma lista de validadores ativos e endereços IP. Uma investigação mais aprofundada os levou a um servidor específico gerenciado pela InfStones, o que despertou seu interesse.

O servidor de destino tinha uma porta aberta (55555/tcp) executando uma ferramenta Tailon de código aberto, projetada para leitura de arquivos de log. Explorando uma vulnerabilidade no Tailon, os pesquisadores obtiveram Execução Remota de Código (RCE) no validador Sui.

Tailon funcionou como usuário root, dando aos pesquisadores privilégios significativos.

Eles exploraram esse ponto de entrada inicial e estenderam seu ataque a outros servidores InfStones usando uma configuração semelhante. Por meio de uma pesquisa no Censys, eles identificaram cerca de 80 servidores com o mesmo serviço Tailon. No entanto, alguns servidores exigiam autenticação básica para acesso.

Para superar isso, os pesquisadores criaram uma conta na plataforma InfStones e, por meio de sua investigação, descobriram uma API que funcionava como um proxy conectando-se ao Tailon. Ao configurar seu servidor e usar o proxy, eles obtiveram credenciais que lhes permitiram autenticar em servidores que exigiam autenticação básica.

Tendo obtido o controle de cerca de 80 nós, os pesquisadores relataram a vulnerabilidade inicial ao InfStones em julho de 2023. Eles encontraram arquivos de credenciais da AWS em todos os servidores durante sua exploração, indicando que o InfStones baixou binários de rede blockchain de buckets S3.

As credenciais comprometidas tinham acesso de leitura aos buckets e acesso de gravação, permitindo possível manipulação dos binários.

Uma exploração mais aprofundada revelou um serviço em execução na porta 12345 chamado “infd”. Os pesquisadores identificaram que esse serviço funcionava como usuário root, explorando uma vulnerabilidade de injeção de comando na rota de “atualização”. No entanto, a autenticação JWT representou um desafio.

Os pesquisadores descobriram um servidor com uma configuração específica do CloudProvider que lhes permitiu ignorar a autenticação JWT e explorar a vulnerabilidade de injeção de comando. Este servidor foi identificado como o validador InfStones Aptos, que apostou aproximadamente 150 milhões de dólares.

O impacto dessas vulnerabilidades foi substancial. Um invasor que explore essas falhas poderia adquirir as chaves privadas dos validadores em várias redes blockchain, levando potencialmente ao corte de validadores, à retirada de fundos apostados ou ao roubo de recompensas de aposta. Os validadores afetados representavam uma parte significativa da rede Ethereum e do Lido, uma importante operadora no espaço.

Os pesquisadores divulgaram de forma responsável suas descobertas à InfStones e comunicaram o impacto potencial das vulnerabilidades. A InfStones afirmou ter solucionado os problemas e os pesquisadores concordaram em adiar a divulgação pública para dar tempo aos esforços de correção e rotação de chaves.

Lido DAO reconheceu a vulnerabilidade relatada e está colaborando ativamente com a InfoStones para resolver os problemas identificados. O foco está em corrigir o problema especificamente relacionado aos nós Ethereum na infraestrutura da InfoStones.

Embora estejam sendo feitos progressos na abordagem das preocupações relacionadas ao Ethereum, permanece incerteza quanto à extensão do impacto nos validadores do Lido e outras redes mencionadas no relatório abrangente da dWallet. O esforço colaborativo visa investigar minuciosamente e mitigar quaisquer possíveis repercussões decorrentes das vulnerabilidades.

Este estudo destacou uma lacuna na responsabilização e responsabilidade relacionada à segurança dos validadores de redes blockchain. Embora sejam investidos recursos consideráveis na qualidade do código e na segurança dos contratos inteligentes, a segurança dos validadores é muitas vezes considerada fora do âmbito dos programas de recompensas, criando um potencial ponto de entrada para os atacantes.

Os pesquisadores enfatizaram a necessidade de maior foco na segurança dos validadores, componentes cruciais das redes blockchain.

Esperando ansiosamente

Os usuários podem tomar várias medidas práticas para aumentar a segurança de seu envolvimento em redes e tecnologias blockchain. Em primeiro lugar, é crucial manter-se informado sobre o cenário de segurança em constante evolução das redes blockchain.

Seguir fontes confiáveis, pesquisadores de segurança e organizações que compartilham regularmente insights e atualizações ajudará indivíduos e organizações a evitar riscos e vulnerabilidades potenciais.

Se você estiver envolvido em piqueteamento ou operação de nós em redes blockchain, diversificar seus serviços de validação é uma estratégia prudente. Depender de um único provedor de serviços aumenta o risco de vulnerabilidades ou ataques.

Além disso, são essenciais auditorias regulares de segurança da infra-estrutura. Estas auditorias devem ir além da avaliação de códigos e contratos inteligentes, estendendo-se à segurança dos validadores que suportam a rede.

A implementação da autenticação multifator (MFA) é outra medida crítica. A ativação da MFA em todas as contas e serviços relacionados às operações de blockchain adiciona uma camada extra de segurança, mitigando o risco de acesso não autorizado.

O treinamento de conscientização de segurança para o pessoal que gerencia a infraestrutura blockchain é igualmente importante. Ele garante que os indivíduos estejam bem informados sobre ameaças potenciais, vetores de ataque comuns e as melhores práticas de segurança.

No caso de descoberta de vulnerabilidades em redes ou serviços blockchain, é aconselhável seguir práticas de divulgação responsável. Notificar prontamente as partes afetadas e colaborar com elas para resolver os problemas antes da divulgação pública pode minimizar danos potenciais.

Além disso, é vital revisar e auditar regularmente as configurações dos serviços em nuvem usados nas operações de blockchain. Isso inclui proteger serviços, fechar portas abertas desnecessárias e configurar controles de acesso adequadamente.

É essencial reconhecer o papel crítico dos validadores na segurança das redes blockchain. Incentivar projetos e organizações de blockchain a incluir a segurança do validador como parte de seus programas de segurança e iniciativas de recompensa de bugs pode contribuir significativamente para um ecossistema mais seguro.

Também é recomendado o monitoramento contínuo de atividades incomuns e acesso não autorizado em nós validadores. A detecção precoce de comportamentos suspeitos pode prevenir ou minimizar o impacto de incidentes de segurança.

Finalmente, apoiar iniciativas que defendem programas de segurança abrangentes no espaço blockchain e a inclusão da segurança do validador em programas de recompensas contribuirá para abordar eficazmente potenciais vulnerabilidades.