Un chercheur publie la vulnérabilité zero-day d'Ava Labs Avalanche, déclare que "l'intégralité du protocole est compromise"

Il y a 1 mois

Un chercheur en sécurité a publié des rapports sur une vulnérabilité zero-day dans AvalancheGo, une implémentation du protocole Avalanche d’Ava Labs. La vulnérabilité, a-t-il dit, permet de falsifier les clés privées des validateurs de réseau, « ce qui compromet essentiellement l’ensemble du protocole ».

Le chercheur James Edwards a déclaré qu’il publiait la vulnérabilité en public parce qu’Ava Labs – après avoir répondu à ses affirmations initiales publiées le 14 février sur Hackenproof avec une demande d’informations supplémentaires – n’avait pas répondu à ses rapports ultérieurs détaillant le problème et n’avait pas corrigé le logiciel.

Équipe ignorée. Il s’agit donc maintenant d’un guide sur la façon de récupérer les clés privées du validateur sur le réseau principal.

Un chercheur publie la vulnérabilité zero-day d'Ava Labs Avalanche, déclare que

co/LVUTjZcfwo

« S’il y a quelqu’un qui utilise Avalanche au moment de la rédaction. mon meilleur conseil en tant qu’observateur et chercheur objectif serait de retirer tous les fonds que vous avez sur ce protocole dès que possible », a-t-il écrit.

Edwards a publié une longue description en quatre parties du fonctionnement de la vulnérabilité, notant qu’elle n’est présente que dans la mise en œuvre Golang du protocole Avalanche. Cela concerne la façon dont AvalancheGo utilise les « valeurs nonce » pour créer des signatures déterministes – bien que les signatures d’Avalanche soient en effet déterministes, une faille dans les fonctions utilisées pour itérer et produire des valeurs nonce pourrait potentiellement compromettre les validateurs.

AvalancheGo utilise une bibliothèque Decred (une autre blockchain) dans ce processus, générant des signatures basées sur la spécification RFC6979.

« Depuis qu’Avalanche a choisi de me sortir d’une prime de bogue de 10 000 $, j’ai choisi de publier cette recherche gratuitement au profit de la communauté », a-t-il déclaré dans son quatrième et dernier message le 19 février.

Avalanche est une blockchain consensuelle de preuve de participation (PoS) conçue pour exécuter des contrats intelligents et des applications décentralisées (dApps). Basé sur un protocole développé par Emin Gün Sirer et une équipe de collègues de l’Université Cornell. et Avalanche lui-même a été officiellement publié quelques mois plus tard.

En tant que blockchain PoS, Avalanche confirme les blocs en disposant d’un réseau de « validateurs » verrouillant les enjeux de son jeton natif, également appelé Avalanche (ou AVAX). Il a reçu 230 millions de dollars d’investissements de Polychain et de Three Arrows Capital (3AC), et aurait conclu des accords avec Deloitte et Amazon.

En août 2022, le projet s’est retrouvé mêlé au scandale des «Crypto Leaks» impliquant Kyle Roche, associé fondateur de Roche Freedman, le cabinet d’avocats qui représentait Ira Kleiman dans l’affaire de longue date Kleiman contre Wright qui cherchait en vain à extraire un grand pourcentage de Les premiers Bitcoins de Satoshi Nakamoto du Dr Craig S. Wright. Roche a affirmé dans des vidéos divulguées avoir utilisé des tactiques juridiques mercenaires pour accumuler des secrets commerciaux lors de la découverte et pour « éliminer » les concurrents d’Ava Labs, l’un des clients de l’entreprise, en échange d’une large attribution d’actifs AVAX. Sirer et Ava Labs ont nié les allégations d’actes répréhensibles, mais la société a ensuite été retirée d’un recours collectif contre Tether, et Roche lui-même a été licencié pour cette affaire. La firme s’appelle maintenant Freedman Normand Friedland.

La réponse d’Avalanche ?

Pour mémoire, un ingénieur logiciel senior d’Ava Labs a réfuté les affirmations concernant les vulnérabilités des processus de génération de nonce/signature d’Avalanche le 17 février. Cet article a été republié en réponse au tweet d’Edwards.

co/Xxi6xCp9sx

/li>

« Ava Labs travaille depuis longtemps avec des chercheurs en sécurité responsables et des reporters de primes de bogues dans l’ensemble de l’écosystème de sécurité », ont-ils écrit.

Edwards a écrit que les développeurs d’Ava Labs lui avaient envoyé « une réponse documentée longue » à ses revendications de vulnérabilité, bien que cette réponse ait indiqué que la bibliothèque d’AvalancheGo avait hérité de plusieurs fonctions de la version Decred « qu’en fait, ce n’était pas le cas ». Il l’a démontré en produisant des signatures en utilisant à la fois la bibliothèque Decred et AvalancheGo avec des résultats différents.

Il a noté que la description fonctionnait « en théorie » mais a ajouté, « cela n’a pas été exécuté en pratique par moi-même car cela va à l’encontre de mon code d’éthique personnel ».

Regarder : Conformité réglementaire de la loi et de l’ordre pour la blockchain et les actifs numériques

width= »562″ height= »315″ frameborder= »0″ allowfullscreen= »allowfullscreen »>

  • Conseils pour Kyle Roche, Ava Labs  : lorsque vous êtes dans un trou, arrêtez de creuser
  • Ava Labs a construit une plateforme de litige sur Avalanche avec Kyle Roche
  • Pourquoi Ava Labs veut le Bored Ape Metaverse et ApeCoin sur Avalanche
  • Ava Labs rejette la "conspiration" alléguant que des avocats payés par Avalanche poursuivent des concurrents
    • Tags:
    En avoir marre! Le président Powell insiste sur le fait que les réductions de taux ne sont pas envisagées ; les prix de la crypto chutent suite à la hausse des taux d'intérêt
    Il y a 25 minutes
    Le prix du Bitcoin s'envole alors que la Fed déclare que les hausses de taux pourraient ne pas être "appropriées"
    Il y a 1 heure
    L'adoption d'eNaira par la CBDC nigériane augmente en raison d'un manque de liquidités
    Il y a 1 heure
    bitcoin
    Bitcoin (BTC) 25.215,50 4,61%
    ethereum
    Ethereum (ETH) 1.612,71 4,23%
    tether
    Tether (USDT) 0,934806 0,51%
    bnb
    BNB (BNB) 298,70 5,84%
    usd-coin
    USD Coin (USDC) 0,938538 0,43%
    xrp
    XRP (XRP) 0,388791 13,27%
    cardano
    Cardano (ADA) 0,330440 3,05%
    staked-ether
    Lido Staked Ether (STETH) 1.609,57 4,27%
    dogecoin
    Dogecoin (DOGE) 0,067974 5,41%
    matic-network
    Polygon (MATIC) 1,03 3,96%
    solana
    Solana (SOL) 19,90 5,93%
    binance-usd
    Binance USD (BUSD) 0,930335 0,69%
    polkadot
    Polkadot (DOT) 5,61 4,85%
    shiba-inu
    Shiba Inu (SHIB) 0,000009 5,21%
    litecoin
    Litecoin (LTC) 76,93 0,60%
    tron
    TRON (TRX) 0,055060 12,29%
    avalanche-2
    Avalanche (AVAX) 15,40 4,71%
    dai
    Dai (DAI) 0,932940 0,05%
    uniswap
    Uniswap (UNI) 5,61 6,35%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) 25.322,79 4,07%
    the-open-network
    Toncoin (TON) 2,23 0,53%
    chainlink
    Chainlink (LINK) 6,63 2,85%
    cosmos
    Cosmos Hub (ATOM) 10,36 7,90%
    leo-token
    LEO Token (LEO) 3,15 2,63%
    ethereum-classic
    Ethereum Classic (ETC) 18,32 4,76%
    monero
    Monero (XMR) 137,62 2,89%
    okb
    OKB (OKB) 41,55 2,39%
    bitcoin-cash
    Bitcoin Cash (BCH) 117,12 5,82%
    stellar
    Stellar (XLM) 0,083228 7,58%
    filecoin
    Filecoin (FIL) 5,08 8,26%
    aptos
    Aptos (APT) 11,42 0,45%
    true-usd
    TrueUSD (TUSD) 0,931973 0,63%
    lido-dao
    Lido DAO (LDO) 2,13 5,34%
    hedera-hashgraph
    Hedera (HBAR) 0,056297 4,56%
    quant-network
    Quant (QNT) 113,93 5,11%
    crypto-com-chain
    Cronos (CRO) 0,063774 4,08%
    near
    NEAR Protocol (NEAR) 1,78 6,57%
    vechain
    VeChain (VET) 0,020748 7,07%
    blockstack
    Stacks (STX) 1,07 1,93%
    algorand
    Algorand (ALGO) 0,198816 2,30%
    internet-computer
    Internet Computer (ICP) 4,59 5,82%
    apecoin
    ApeCoin (APE) 3,61 6,08%
    fantom
    Fantom (FTM) 0,426804 6,43%
    the-graph
    The Graph (GRT) 0,131156 7,38%
    eos
    EOS (EOS) 1,01 7,65%
    the-sandbox
    The Sandbox (SAND) 0,594301 4,93%
    immutable-x
    ImmutableX (IMX) 1,15 3,22%
    aave
    Aave (AAVE) 68,92 5,33%
    decentraland
    Decentraland (MANA) 0,540215 5,80%
    frax
    Frax (FRAX) 0,937605 0,34%