作品のタイムライン

6月29日、Solus Explorer開発チームCryptoScopeのプログラマーは、回帰テスト中にブラウザがカウントするRVN残高に問題があることを発見し、徹底的なトラブルシューティングを行った結果、メインネットワーク上で異常なRVN発行操作が多数発生していることを確認した。そして、このバグを報告するには、Ravencoin 公式チームのメンバーにすぐに連絡してください。

RVN 開発チームと連絡を取った後、CryptoScope は他の攻撃者がこの脆弱性を悪用する可能性を減らすために Solus Explorer の一部の入り口を一時的に閉じることを決定し、公式チームが問題を解決するために一定の時間を稼いだ。

7 月 3 日、RVN チームはコミュニティに緊急アップデートをリリースし、最終的に 7 月 4 日のブロック 1,304,352 で Ravencoin ネットワークの手順が修正されました。

7 月 8 日、RVN は、この脆弱性はハッカー (Github アカウント: WindowsCryptoDev) によって送信された悪意のある PR (プル リクエスト) によってもたらされたバグによって引き起こされたと公式に説明しました。

この脆弱性により、合計 3 億 100 万の RVN が発行されました。これは、当初の総供給量 210 億の 1.44%、既存の供給量の 4.6% に相当します。

• RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK

• RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8

• RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs

追跡調査によると、新たに発行された大量の RVN が分解されて別のアドレスに送信され、最終的に取引所に転送されたことが判明しており、正式な場所は以下の 3 つのアドレスです。

RVN チームは、ハッカー チームの 1 つの手がかりを追跡し、攻撃者の情報を入手し、追加の RVN を特定のアドレスに転送して破壊することを期待していると述べました。 RVN チームによると、さらに合計約 390 万個の RVN が破壊されました。

さらに、公式チームはETHハードフォークと同様の形式で攻撃を解決したわけではありませんが、これらの追加コインの有効性を間接的に認めました。総供給量を確実に変更しないようにするために、公式の提案では、将来的に総マイニング収益を削減することになっていますが、この計画は依然としてコミュニティの承認が必要であり、BIP9 のアップグレード後にのみ有効になります。鎖。

元のRVN発行総量は210億、ブロック生成時間は1分、現在のブロック報酬は5,000RVNで、210万ブロックごと、つまり4年ごとに報酬が半減します。現在の公式計画によれば、各半減期は以前より59,580ブロック（約41.375日）早くなる。

副題

攻撃者の行動のレビュー

1 月 16 日、WindowsCryptoDev という名前の開発者が Ravencoin Github に PR (プル リクエスト) を送信し、明らかにノードから返されるエラー メッセージを改善しようとしました。PR はすぐに Ravencoin 関係者からフィードバックを受け、master ブランチに統合されました。

PR内容

元のコードでは、資産関連のトランザクションの場合、トランザクションの RVN 出力値が 0 でない限り、「bad-txns-asset-tx-amount-isn't-zero」エラー メッセージが返されます。

この PR は、さまざまな種類の資産トランザクションのエラー メッセージを最適化します。表面的には、開発者にとってエラーの特定の原因を区別するのに便利であるように見えますが、ハッカーはバックドアを残しました。つまり、エラー メッセージは最適化されていませんでした。 TX_REISSUE_ASSET の場合。この結果、エラーメッセージが区別できないだけでなく、本来不正なトランザクション（TX_REISSUE_ASSETおよびRVNの出力値が0以外）が正当なトランザクションと判断され、最終的にRVNが追加発行されることになるので注意してください。

1 月 17 日、ハッカーは Ravencoin メイン ネットワーク上で TX_​​ISSUE_ASSET トランザクションを公開し続け、その後の TX_REISSUE_ASSET 攻撃の基礎を提供しました。

5 月 9 日、ハッカーは Ravencoin メインネット上で 2 時間ごとに TX_REISSUE_ASSET トランザクションを開始し、自分のアドレスに 500,000 RVN を発行しました。この動作は、公式がバグを修正する準備ができていることにハッカーが気づいた 7 月 3 日まで続きました。現時点ではメインネット上のバグは完全には修正されていません）。

Solus Explorerの統計によると、最終的な追加発行総額は3億1,804,400 RVNで、3億100万RVNを超えています。

副題

安全警告

この脆弱性は Ravencoin ネットワークにのみ影響を及ぼしましたが、他の多くのブロックチェーン システムでも同様のセキュリティ問題が発生しています。たとえば、ビットコインは 2018 年に同様の深刻なセキュリティ脆弱性にさらされました。攻撃期間は 2017 年 10 月から 2018 年 8 月まで続き、2017 年 10 月以降にビットコイン コードに基づいて開発されたすべての新しい通貨に影響を与えました。しかし、当時のバグはハッカーによって悪意を持って持ち込まれたものではなく、開発者のミスによって引き起こされたもので、幸いなことに、開発者によって修正されるまでにそのバグはハッカーによって悪用されることはありませんでした。