Крипто_мир | crypto_world |Анализ | Bitconovosti
1.5K subscribers
21 photos
1 video
2.44K links
Актуальные новости. Интересные статьи. Обзоры ICO. Анализ криптовалют .
Наш уютный чат - https://tttttt.me/crypto_world_analysis
Администрация: @bitcocryptov . @MgGrouCrypto
Download Telegram
​​Операторов нод Lightning Network призвали к скорейшему обновлению из-за уязвимости❗️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Команда Lightning Labs сообщила об обнаружении уязвимости в имплементации Lightning Network LND версии 0.10.x и младше. В связи с этим операторов нод призывают обновиться до версии 0.11.0 в кратчайшие сроки.
📌Lightning Network представляет собой решение по масштабированию биткоина второго уровня, позволяющее существенно снизить время подтверждения транзакций и расходы на их обработку.
Как поясняет директор по криптографической инженерии Lightning Labs Коннер Фромкнехт, случаев использования этой уязвимости на практике зафиксировано не было, однако окружающие раскрытие информации обстоятельства вынудили разработчиков действовать в условиях сжатых сроков. В настоящее время осуществляется «частичное» раскрытие уязвимости, тогда как детальный отчет будет опубликован 20 октября.
🔺«Хотя у нас нет оснований полагать, что эти уязвимости использовались в реальных условиях, мы настойчиво рекомендуем сообществу обновиться до lnd 0.11.0 или выше при первой же возможности», – сообщил Фромкнехт.
Lightning Labs является разработчиком одной из трех крупных имплементаций Lightning Network. Релиз LND v0.11.1-beta состоялся 1 октября.
🔺В сентябре разработчики Йуст Ягер рассказал об уязвимости недавно добавленных в Lightning Network Wumbo-каналов, которые позволяют осуществлять более крупные транзакции. Обнаруженный Ягером баг в Wumbo-каналах заключается в том, что они не способны хранить больше 483 хешей и контрактов с временным замком (HTLC) одновременно, невзирая на более высокую пропускную способность. Таким образом, злоумышленник может отправить 483 микроплатежа в свой собственный адрес и израсходовать доступные ресурсы, чтобы заблокировать канал на срок до двух недель.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Lightning Network node operators called for early update due to vulnerability❗️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
The Lightning Labs team announced the discovery of a vulnerability in the implementation of Lightning Network LND version 0.10.x and earlier. In this regard, node operators are urged to update to version 0.11.0 as soon as possible.
📌Lightning Network is a second-tier bitcoin scaling solution that can significantly reduce transaction confirmation time and processing costs.
As Conner Fromknecht, director of cryptographic engineering at Lightning Labs, explains, there have been no cases of exploitation of this vulnerability in practice, but the circumstances surrounding the disclosure of information forced the developers to act under tight deadlines. Currently, a "partial" disclosure of the vulnerability is underway, while the detailed report will be published on October 20.
🔺 “While we have no reason to believe that these vulnerabilities were exploited in real life, we strongly recommend that the community update to lnd 0.11.0 or higher at the earliest opportunity,” Fromknecht said.
Lightning Labs is the developer of one of three major Lightning Network implementations. LND v0.11.1-beta was released on October 1.
🔺In September, the developers Yust Jager talked about the vulnerability of the recently added Wumbo channels to the Lightning Network, which allow for larger transactions. The bug that Yager discovered in Wumbo channels is that they are unable to store more than 483 hashes and time-locked contracts (HTLCs) at the same time, despite the higher bandwidth. Thus, an attacker can send 483 micropayments to his own address and use up available resources to block the channel for up to two weeks.
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#LightningLabs #LND #Уязвимость #LightningNetwork #Безопасность
​​Протокол DeFi Warp Finance готовится к перезапуску и внедряет оракулы Chainlink❗️
💥💥💥💥💥💥💥💥💥💥💥💥💥
Недавно взломанный протокол DeFi Warp Finance готовится к перезапуску и интегрирует оракулы Chainlink, чтобы предотвратить будущие возможные атаки с использованием быстрых кредитов.
В середине декабря Warp Finance подвергся атаке с использованием быстрых кредитов. Хакер смог вывести с платформы стейблкоины стоимостью $7.7 млн. По мнению разработчиков Warp Finance, добавление оракулов Chainlink послужит защитой от подобных атак в будущем.
Атака с использованием быстрых кредитов включает в себя заимствование залога и его возврат в рамках одной транзакции после его использования для манипулирования ценой. По словам команды Warp Finance, эксперты по безопасности определили, что основной причиной взлома был ценовой оракул.
Проблему усугубил тот факт, что Warp Finance использует токены поставщиков ликвидности в качестве обеспечения. Эта функция – один из основных аргументов в пользу протокола, поскольку она позволяет передавать приносящие доход токены в качестве залога, комбинируя как доход от торговых комиссий, так и от заемщиков, использующих протокол.
🔺По словам «белого хакера» DeFi Эмилиано Бонасси (Emiliano Bonassi), уязвимость протокола заключалась в том, что оракулы Warp Finance неправильно вычисляли базовую стоимость токенов пула. Обновленная версия протокола будет использовать ценовые оракулы Chainlink для всех критически важных функций, например, для определения стоимости токенов LP, используемых для обеспечения.
Ранее Chainlink и ее основатель Сергей Назаров неоднократно заявляли о необходимости как можно более широкого использования ценовых оракулов на рынке криптовалют. Пресс-секретарь Warp Finance прокомментировал ситуацию и вопрос о том, почему протокол ранее не использовал децентрализованные оракулы Chainlink:
🔺«Оракулы Uniswap были вариантом для многих проектов, которым нужна информация о ценах для различных сценариев использования. Таким образом, мы запустили тестовую фазу проекта, как и другие кредитные платформы, с возможностью обновления позже».
Пресс-секретарь также отметил, что значительная часть проектов DeFi не использует Chainlink, и они считают, что перезапуск протокола «даст нашим пользователям гораздо больше уверенности в безопасности нашего приложения».
Warp Finance также разработала план компенсации для пострадавших от взлома пользователей и по состоянию на конец декабря восстановила 75% украденных криптоактивов.
💥💥💥💥💥💥💥💥💥💥💥💥💥
#Chainlink #DeFi #Безопасность #Уязвимость #Взлом
​​Разработчики Bitcoin Core устранили уязвимость в версиях 0.18 и ниже☝️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Разработчик Bitcoin Core раскрыл информацию об уязвимости в более ранних версиях программного клиента. Ошибка была устранена в релизе Bitcoin Core 0.19.
Один из разработчиков Bitcoin Core Эндрю Чоу (Andrew Chow) опубликовал данные об уязвимости, которая затрагивала более ранние версии клиента. Устраненная проблема известна другим разработчикам Биткоина, обычно затрагивает веб-браузеры и не вызвала никаких сбоев.
В записи в Твиттере Чоу отметил, что уязвимость присутствовала в версиях Bitcoin Core 0.18 и ниже, но устранена в релизе 0.19. В прошлом месяце была выпущена версия Bitcoin Core 0.21.0. Разработчик также сказал, что атака вряд ли могла нанести ущерб пользователям клиента.
🔺«С учетом имеющихся в современных браузерах и настольных средах Linux инструментов защиты, мне не кажется, что эту уязвимость можно реально использовать», - сказал он. «Однако, в противном случае это может привести к RCE (то есть к выполнению вредоносного кода на компьютере жертвы)».
Потенциальная возможность атаки основывалась на трех технических аспектах: идентификаторе Unified Resource Identifier (URI), бесплатной программе для создания графических интерфейсов Qt5 и способе обработки этих двух объектов на компьютере.
🔺Чоу сказал, что поскольку инъекции в URI – известная проблема, разработчики знают, как ее избежать. Однако проблема заключалась в Qt5 - графическом интерфейсе, который не распознавал никаких ошибочных URI и мог пропускать нежелательные аргументы.
Теоретически такая уязвимость позволяет вредоносному коду отправлять ложные данные или инструкции на компьютер и устанавливать вредоносный плагин. Это может вызвать сбой в работе системы пользователя или кражу данных.
❗️В большинстве браузеров уже есть встроенные механизмы защиты, позволяющие избежать таких атак и помечать любые нежелательные аргументы. Это означает, что, несмотря на наличие уязвимости, ее было бы трудно использовать. По мнению Чоу, это было практически невозможно.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Bitcoin Core developers have fixed the vulnerability in versions 0.18 and below☝️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
The Bitcoin Core developer disclosed the vulnerability in earlier versions of the software client. The bug was fixed in the release of Bitcoin Core 0.19.
One of the developers of Bitcoin Core Andrew Chow (Andrew Chow) published data on a vulnerability that affected earlier versions of the client. The fixed issue is known to other Bitcoin developers, usually affects web browsers and did not cause any crashes.
In a tweet, Chow noted that the vulnerability was present in Bitcoin Core versions 0.18 and below, but was fixed in the 0.19 release. Bitcoin Core 0.21.0 was released last month. The developer also said that the attack was unlikely to harm the client's users.
С “Given the security tools available in modern browsers and Linux desktop environments, I don’t think this vulnerability can actually be exploited,” he said. "However, otherwise it could lead to RCE (ie, the execution of malicious code on the victim's computer)."
The potential for an attack was based on three technical aspects: the Unified Resource Identifier (URI), the free Qt5 GUI program, and the way the computer handles these two objects.
🔺Chou said that since URI injection is a known problem, the developers know how to avoid it. However, the problem was with Qt5, a GUI that did not recognize any erroneous URIs and could skip unwanted arguments.
In theory, such a vulnerability allows malicious code to send false data or instructions to a computer and install a malicious plugin. This can cause the user's system to crash or data theft.
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#BitcoinCore #Уязвимость #Биткоин
​​В кошельке Monero обнаружена уязвимость мультиподписи❗️
⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️
Разработчики Monero выложили на официальном саббредите соцсети Reddit предупреждение про найденную уязвимость мультиподписи. Multisig-транзакции кошелька Monero позволяют отправлять транзакции только после их подписи определенным кругом лиц или заданным пороговым значением подписантов.
Найденный баг позволяет одному из владельцев набора ключей взаимосвязанных кошельков, вывести XMR без наличия подписи других участников.
Разработчики просят владельцев Monero Multisig не предпринимать никаких действий до выпуска обновления. Проблема касается только текущего кода кошелька, а не принципиальной схемы совместного управления депозитами.
📌Баг не влияет на процесс создания multisig-кошелька, но от отправки совместных транзакций следует отказаться на время. Разработчики призывают не подписывать запросы на переводы депозита, отказаться от сервисов, где мультиподпись используется в качестве арбитража, например, в p2p-сделках и межатомарных свопах.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Multi-signature vulnerability found in Monero wallet❗️
⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️
The Monero developers posted a warning about the discovered multi-signature vulnerability on the official Reddit subbred. Monero wallet multisig transactions allow transactions to be sent only after they have been signed by a certain circle of persons or a specified threshold value of signers.
Found bug allows one of the owners of a set of keys of interconnected wallets to withdraw XMR without the signature of other participants.
The developers ask the owners of Monero Multisig not to take any action until the update is released. The problem only concerns the current wallet code, not the concept of joint deposit management.
📌Bug does not affect the process of creating a multisig wallet, but you should refuse to send joint transactions for a while. Developers urge not to sign requests for deposit transfers, abandon services where multisignature is used as arbitration, for example, in p2p transactions and interatomic swaps
⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️⚡️
#кошелек #Monero #уязвимость #мультиподпись
ФРС США: стейблкоины показали структурные слабости криптовалют☝️
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
Совет директоров Федеральной резервной системы США выпустил отчет, в котором назвал стейблкоины «потенциальным риском для финансовой стабильности традиционных рынков». В отчете о монетарной политике директоры ФРС пишут, что «коллапс стоимости определенных стейблкоинов» и «недавние проблемы» на криптовалютном рынке показывают «структурные слабости» цифровых активов. Конечно, речь идет о крахе стейблкоина UST и всей экосистемы Terra в начале мая.
🔺«Стейблкоины, не обеспеченные безопасными и достаточно ликвидными активами, и которые не попадают под соответствующие регуляторные стандарты, создают риски для инвесторов и, потенциально, финансовой системы. Эти уязвимости могут усугубляться в случае отсутствия прозрачности в отношении риска и ликвидности активов для обеспечения токена», – подчеркивается в отчете.
▪️Отметим, что 22 июня должно состояться выступление председателя ФРС Джерома Пауэлла (Jerome Powell) перед Банковским комитетом Сената. Вполне возможно, что будет обсуждено и регулирование стейблкоинов и криптовалют в США.
☝️Ранее о рисках стейблкоинов для инвесторов и финансовой системы предупредило Управление контролера денежного обращения США.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
US Federal Reserve: stablecoins have shown the structural weaknesses of cryptocurrencies☝️
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
The Board of Directors of the US Federal Reserve released a report calling stablecoins a “potential risk to the financial stability of traditional markets.” In a monetary policy report, Fed directors write that “the collapse in the value of certain stablecoins” and “recent troubles” in the cryptocurrency market reveal “structural weaknesses” in digital assets. Of course, we are talking about the collapse of the UST stablecoin and the entire Terra ecosystem in early May.
“Stablecoins that are not backed by safe and sufficiently liquid assets, and that do not fall under the appropriate regulatory standards, create risks for investors and, potentially, the financial system. These vulnerabilities can be exacerbated if there is a lack of transparency about the risk and liquidity of the assets to back the token,” the report emphasizes.
▪️Note that Fed Chairman Jerome Powell is due to address the Senate Banking Committee on June 22. It is possible that regulation of stablecoins and cryptocurrencies in the US will also be discussed.
☝️Earlier, the Office of the Comptroller of the US Currency warned about the risks of stablecoins for investors and the financial system.
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
#Стейблкоин #ФРС #Криптовалюта #США #Риск #Уязвимость #Регулирование #Отчеты
В протоколе Lightning Network нашли критическую уязвимость❗️
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
Исследователи из Университета Иллинойса обнаружили потенциально критическую уязвимость в протоколе масштабирования сети биткоина Lightning Network. Результаты работы опубликованы в научной статье.
📌Согласно документу, группа всего из тридцати валидаторов может украсть около 750 BTC (~$17,2 млн) через так называемую «зомби атаку». Сообщается, что группа сговорившихся валидаторов может заблокировать криптовалюту, которая проходит через них, а единственная форма защиты от такой атаки заключается в отключении от протокола.
Помимо «зомби атаки», злоумышленники могут провести скоординированную атаку двойной траты. Такая атака приводит к получению бóльшего количества криптовалюты, чем положено валидатору. В этом случае решением может быть перепроверка ложных транзакций, что, впрочем, как отмечают исследователи, ударит по пропускной способности протокола.
☝️Это далеко не первая уязвимость, выявленная в Lightning Network за последние пару лет. Например, летом 2020 года исследователи Йона Харрис и Авив Зоар из Иерусалимского университета Израиля обнаружили, что злоумышленники могут использовать перегрузку Lightning Network для кражи средств с кошельков.
Пользователи протокола могут отправлять платежи через промежуточных валидаторов. Эти валидаторы могут попытаться украсть биткоины, но для этого у них будет только короткий промежуток времени. Однако хакеры могут увеличить временной интервал, прибегнув к флуду, считают исследователи.
Как выяснили в университете, злоумышленники могут заставить жертв одновременно отправлять в протоколе множество заявок на получение своих средств. Как только в Lightning Network образовывается перегрузка, злоумышленники могут украсть средства.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Critical vulnerability found in Lightning Network protocol❗️
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
Researchers at the University of Illinois have discovered a potentially critical vulnerability in the Bitcoin Lightning Network scaling protocol. The results of the work are published in a scientific article.
📌According to the document, a group of just thirty validators can steal about 750 BTC (~$17.2 million) through the so-called "zombie attack". It is reported that a group of colluding validators can block the cryptocurrency that passes through them, and the only form of protection against such an attack is to disconnect from the protocol.
In addition to the "zombie attack", attackers can conduct a coordinated double-spend attack. Such an attack results in receiving more cryptocurrency than the validator is supposed to receive. In this case, the solution may be to revalidate false transactions, which, however, as the researchers note, will hit the throughput of the protocol.
☝️This is far from the first vulnerability identified in the Lightning Network over the past couple of years. For example, in the summer of 2020, researchers Yona Harris and Aviv Zohar at the University of Jerusalem, Israel, discovered that attackers could use Lightning Network overload to steal funds from wallets.
Users of the protocol can send payments through intermediate validators. These validators may try to steal bitcoins, but they will only have a short window of time to do so. However, hackers can increase the time interval by resorting to flooding, the researchers say.
According to the university, attackers can force victims to simultaneously send multiple applications in the protocol to receive their funds. Once congestion occurs in the Lightning Network, attackers can steal funds.
💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥💥
#bitcoin #lightningnetwork #ln #уязвимость