Специалисты китайской компании Qihoo 360, работающей в сфере кибербезопасности, рассказали об обнаружении бага в коде NEO, который делает блокчейн NEO уязвимым перед лицом DoS-атаки. Представители NEO подтвердили наличие этой уязвимости.
Чжиньян Пэн, сотрудник команды по кибербезопасности в компании Qihoo 360, опубликовал пост в блоге, в котором рассказал об обнаружении уязвимости на платформе для смарт-контрактов NEO. Баг содержался в контракте системного вызова, который используется для обращения к определенному объекту в упорядоченной стековой памяти виртуальной машины. Как выяснилось, он не учитывал вложенный массив при обращении к контрактам, что потенциально могло привести к краху системы смарт-контрактов платформы.
Злоумышленники могли опубликовать зловредные смарт-контракты, которые с помощью этой уязвимости нарушили бы работу сети NEO. 7 мастер-нод, ответственных в сети NEO за верификацию и упорядочивание всей сети транзакций, при разборе и анализе зловредного контракта могли бы обрушиться.
Более того, баг делал сеть NEO уязвимой перед лицом DoS-атаки.
Команда Qihoo 360 сообщила о находке разработчикам NEO 15 августа. Основатель NEO Эрик Чжан проверил информацию и подтвердил наличие уязвимости. Спустя 56 минут она была исправлена.
Команда Qihoo 360 получила вознаграждение в размере 1000 NEO ($18000).
Подписывайтесь на наш Telegram-канал: новости и аналитика из первых рук!
