보조 제목"RVN 추가 발행"
조각 타임라인
지난 6월 29일 솔루스 익스플로러 개발팀 크립토스코프(CryptoScope)의 프로그래머는 회귀 테스트 중 브라우저에서 카운트되는 RVN 잔액에 문제가 있음을 발견하고, 심층적인 문제 해결 후 메인넷에서 비정상적인 RVN 발급 작업이 다수 진행되고 있음을 확인했다. , 그런 다음 Ravencoin 공식 팀원에게 신속하게 연락하여 이 버그를 보고하십시오.
CryptoScope는 RVN 개발팀과 소통한 후 다른 공격자가 취약점을 악용할 가능성을 줄이기 위해 Solus Explorer의 일부 입구를 일시적으로 폐쇄하기로 결정하고 공식 팀이 문제를 해결할 수 있도록 일정 시간을 벌었습니다.
7월 3일, RVN 팀은 커뮤니티에 긴급 업데이트를 발표했으며, 그 결과 7월 4일 블록 1,304,352에서 Ravencoin 네트워크에 대한 절차적 수정이 이루어졌습니다.
RVN은 지난 7월 8일 해커(Github 계정: WindowsCryptoDev)가 제출한 악의적인 PR(Pull Request)에 의해 도입된 버그로 인해 이 취약점이 발생했다고 공식 해명했습니다.
이 취약점으로 인해 총 3억 1백만 개의 RVN이 발행되었으며, 이는 원래 총 공급량인 210억 개의 1.44%와 기존 공급량의 4.6%에 해당합니다.
RVhLBBsdFbKmBC1muPB2of74w19NwHzUsK
RAekzFLJDfLpaTfMonPNEvahWVYvBu2iE8
RU4C2CLwRTm4s4LbWMYdzAJFbZGL5rZqGs
추적에 따르면 새로 발행된 많은 RVN이 분해되어 다른 주소로 전송되고 최종적으로 거래소로 전송되었습니다.공식 위치는 다음 3개 주소입니다.
RVN 팀은 해커 팀 중 하나의 단서를 추적했으며 공격자의 정보를 획득했으며 추가 RVN을 특정 주소로 전송하여 파괴하기를 희망합니다. RVN 팀에 따르면 총 약 390만 개의 추가 RVN이 파괴되었습니다.
또한 공식팀은 ETH 하드포크와 유사한 형태로 공격을 해결하지 않고 간접적으로 이러한 추가 코인의 타당성을 인정했다. 총 공급량이 변경되지 않도록 하기 위해 공식적인 제안은 향후 총 채굴 수익을 줄이는 것입니다.그러나 이 계획은 여전히 커뮤니티의 승인이 필요하며 BIP9 업그레이드 이후에만 적용됩니다. 체인.
원래 RVN의 총 발행량은 210억 개, 블록 생성 시간은 1분이며 현재 블록 보상은 5,000 RVN이며 210만 블록마다 보상이 반감, 즉 4년마다 반감됩니다. 현재 공식 계획에 따르면 각 반감기는 이전보다 59,580블록 빨라집니다(약 41.375일).
보조 제목
공격자 행동 검토
1월 16일, WindowsCryptoDev라는 개발자가 Ravencoin Github에 PR(Pull Request)을 제출했는데, 노드에서 반환되는 오류 메시지를 개선하기 위해 PR(Pull Request)을 제출했고, PR은 Ravencoin 관계자로부터 빠르게 피드백을 받아 마스터 브랜치로 병합되었습니다.
홍보내용
원래 코드에서는 자산 관련 트랜잭션의 경우 트랜잭션의 RVN 출력 값이 0이 아닌 한 "bad-txns-asset-tx-amount-isn't-zero" 오류 메시지가 반환됩니다.
이 PR은 다양한 자산 거래 유형에 대한 오류 메시지를 최적화합니다 표면적으로는 개발자가 오류의 구체적인 원인을 구별하는 것이 편리해 보이지만 해커가 남긴 백도어, 즉 오류 메시지가 최적화되지 않았습니다. TX_REISSUE_ASSET용. 이로 인한 결과는 오류 메시지를 구분할 수 없을 뿐만 아니라 원래 불법 트랜잭션(TX_REISSUE_ASSET 및 RVN 출력 값이 0이 아님)이 합법적 트랜잭션으로 판단되어 결국 RVN 발행으로 이어집니다.
1월 17일 해커는 레이븐코인 메인 네트워크에 TX_ISSUE_ASSET 트랜잭션을 계속 게시하여 후속 TX_REISSUE_ASSET 공격의 기반을 제공했습니다.
5월 9일 해커는 레이븐코인 메인넷에서 2시간마다 TX_REISSUE_ASSET 트랜잭션을 시작하여 자신의 주소로 500,000 RVN을 발행했습니다. 메인넷의 버그는 현재 완전히 수정되지 않았습니다.)
솔루스 익스플로러의 통계에 따르면 최종 총 추가 발행량은 301,804,400 RVN으로 301백만 RVN 이상이다.
보조 제목
안전 경고
이 취약성은 Ravencoin 네트워크에만 영향을 미쳤지만 유사한 보안 문제에 직면한 다른 많은 블록체인 시스템이 있습니다. 예를 들어 비트코인은 2018년에 유사한 심각한 보안 취약점에 노출되었습니다. 공격 창은 2017년 10월부터 2018년 8월까지 지속되었으며 2017년 10월 이후 비트코인 코드를 기반으로 개발된 모든 새로운 통화에 영향을 미쳤습니다. 그러나 당시 버그는 해커가 악의적으로 도입한 것이 아니라 개발자의 실수로 발생한 버그로, 다행스럽게도 개발자가 수정하기 전에는 해커가 버그를 악용하지 않았습니다.
