Desenvolvedor Ethereum Péter Szilágyi lançou um relatório de vulnerabilidade detalhando como um bug que ele encontrou no Avalanche teria travado toda a rede.
Péter Szilágyi, em 29 de março de 2022, identificou um bug no pacote PeerList do Avalanche que teria sido facilmente explorado por um agente malicioso. Ele entrou em contato com a equipe de desenvolvedores da Avalanche e eles prontamente corrigiram a vulnerabilidade.
Publicando meu #Avalanche relatório de vulnerabilidade de 29 de março de 2022 que poderia ter sido usado para derrubar toda a rede sem nenhum custo.
O problema foi corrigido há muito tempo e, com o hard fork Avalanche mais recente, todos os nós executam o software corrigido.
Njoy 🙂https://t.co/nokedKF7IZ
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) 8 de setembro de 2022
A vulnerabilidade da lista de pares
A rede Avalanche se comunica usando um Pacote PeerList que só podem ser enviados por validadores de nós. Szilágyi explicou que a vulnerabilidade era tal que tudo o que um invasor precisava era apostar 2.000 AVAX tokens necessários para ser um nó validador e enviar um pacote PeerList malicioso para nós na rede.
Szilágyi explicou:
Como todos os nós da rede se conectam a todos os validadores, é praticamente uma morte instantânea para toda a rede.
Ele adicionou :
O preço é, claro, 2000AVAX, mas eu meio que acho isso aceitável, já que um bom short renderia um bom lucro e a rede se recuperaria de qualquer maneira depois de algumas horas, portanto, nenhum valor de longo prazo seria perdido no validador malicioso.
A partir de março de 2022, a capitalização de mercado da Avalanche rede foi estimado em mais de US $ 24 bilhões. A falha do ecossistema teria sido fatal se a vulnerabilidade fosse sequestrada por um invasor malicioso.
A batalha da avalanche com bugs
Durante o lançamento do protocolo DeFi Pangolin na Avalanche em fevereiro de 2021, a rede sofreu uma “finalidade de cadeia cruzada” incomodar que o forçou a entrar em um “modo de autocura”.
Avalanche experimentou uma carga de rede pesada que fez com que alguns validadores aceitassem algumas transações inválidas do Mint. Consequentemente, a rede teve que interromper todas as transações por horas. Os desenvolvedores rapidamente corrigiram o problema e concluíram todas as transações pendentes.
