ИИ-система Octane Security нашла критическую уязвимость в Ethereum-клиенте Nethermind
ИИ-система Octane Security обнаружила критическую уязвимость в Ethereum-клиенте Nethermind, способную остановить блокпроизводство у 38% валидаторов. Ethereum Foundation выплатил максимальную награду — $50 000.
Автоматизированная система безопасности компании Octane Security выявила уязвимость высокой степени опасности в исполнительном клиенте Nethermind для сети Ethereum. Обнаруженный баг мог привести к остановке локального создания блоков у 38% валидаторов мейннета — более чем трети всех узлов, обеспечивающих консенсус в крупнейшей смарт-контрактной платформе. Ethereum Foundation подтвердил серьёзность проблемы и выплатил максимальное вознаграждение в рамках программы bug bounty — $50 000.
«Octane's AI found a high-severity liveness bug in the @Nethermind execution client that could have stopped local block production for 38% of @ethereum mainnet validators. This bug was patched via the @ethereumfndn bug bounty program, with no exploitation observed.» — Octane Security (@octane_security), оригинальный пост
В чём заключалась уязвимость Nethermind
Согласно данным аудиторов, корень проблемы — отсутствие проверки равенства длин при валидации транзакций, содержащих крупные массивы двоичных данных (BLOB). При добавлении таких транзакций в пул Nethermind не выполнял корректную верификацию, что открывало возможность для целенаправленной атаки на инфраструктуру сети.
Механизм потенциальной эксплуатации выглядел следующим образом:
- Злоумышленник формировал некорректную транзакцию с BLOB-объектами, намеренно нарушая соответствие длин массивов данных.
- Такая транзакция попадала в мемпул Nethermind без надлежащей проверки.
- Валидаторы, использующие Nethermind в качестве исполнительного клиента, начинали пропускать слоты с легитимными запросами.
- Локальное производство блоков останавливалось, что напрямую влияло на стабильность и финальность транзакций в сети.
Уязвимость была обнаружена в ходе интеграции предстоящего обновления Fusakaи затрагивала как тестнет, так и мейннет Ethereum.
Почему эта уязвимость критична для экосистемы Ethereum
Nethermind — один из ключевых исполнительных клиентов Ethereum, на котором работает значительная часть валидаторов сети. Потенциальная остановка блокпроизводства у более чем трети узлов основной сети могла серьёзно подорвать несколько аспектов работы блокчейна:
- Финальность транзакций — задержки в подтверждении блоков затронули бы всех пользователей сети, включая DeFi-протоколы и сервисы пассивного дохода на ETH.
- Стабильность консенсуса — выпадение 38% валидаторов создало бы повышенную нагрузку на оставшиеся узлы.
- Доверие к инфраструктуре — инцидент подобного масштаба мог повлиять на рыночную динамику цифровых активов, включая волатильность на крипторынке.
Своевременное обнаружение бага до его эксплуатации позволило избежать любых реальных последствий для сети и её пользователей.
Роль искусственного интеллекта в безопасности блокчейнов
Этот случай наглядно демонстрирует растущую роль ИИ в обеспечении безопасности блокчейн-инфраструктуры. Представители Octane Security, обращаясь к сооснователю Ethereum Виталику Бутерину, подчеркнули: пограничные случаи на стороне клиента крайне сложны для ручного анализа, однако ИИ способен эффективно их выявлять и верифицировать.
Индустрия искусственного интеллекта активно развивается в направлении автоматизированного аудита кода. Ранее в феврале компания OpenAI совместно с Paradigm представила специализированный бенчмарк для оценки способности ИИ-агентов обнаруживать уязвимости в смарт-контрактах. Подобные инициативы свидетельствуют о том, что пересечение ИИ и кибербезопасности становится одним из приоритетных направлений — на фоне рекордного спроса на вычислительные мощности для ИИ.
Исправление уязвимости и награда от Ethereum Foundation
Баг уже полностью устранён командой Nethermind. Углублённый анализ подтвердил, что ни одной атаки с использованием этой уязвимости проведено не было — патч был выпущен превентивно.
Ethereum Foundation в рамках программы bug bounty присвоил находке высокий уровень опасности и выплатил Octane Security максимальную сумму вознаграждения — $50 000. Программа bug bounty остаётся одним из ключевых механизмов защиты экосистемы Ethereum, стимулируя независимых исследователей и компании к поиску уязвимостей до того, как ими смогут воспользоваться злоумышленники.
Читайте также
Bitcoin –2,5% за неделю: обвинения Jane Street и 7 форков Ethereum
Биткоин потерял 2,5% за неделю на фоне геополитических шоков, Jane Street обвинили в систематическом давлении на цену BTC, а Ethereum Foundation опубликовала дорожную карту с семью хардфорками.
TON Wallet запустил хранилища для пассивного дохода на BTC, ETH и USDT прямо в Telegram
TON Wallet представил хранилища (vaults) для пассивного дохода на BTC, ETH и USDT прямо в Telegram — до 18% годовых на стейблкоины через партнёрство с Morpho, TAC и Re7.
Биткоин достиг $70 000 на фоне надежд на перемирие в Иране
6 апреля BTC вырос на 4% и протестировал отметку $70 000 благодаря новостям о возможном прекращении огня между США, Израилем и Ираном. Рынок деривативов при этом демонстрирует противоречивые сигналы.
Биткоин восстановился после просадки и достиг $70 000
10 марта BTC вернулся выше $70 000, компенсировав потери выходных. Спотовые ETF продолжают привлекать капитал, а рынок проходит масштабный делеверидж.
Биткоин упал ниже $67 000, а Ethereum готовится к квантовой угрозе: итоги недели
За прошедшую неделю BTC потерял 3% на фоне геополитической напряжённости, майнеры достигли исторического минимума активности, а Ethereum Foundation представила план защиты от квантовых компьютеров.
Ethereum к 2026 году перейдёт на квантово-устойчивую криптографию
Ethereum планирует к 2026 году заменить четыре уязвимых криптографических компонента на постквантовые аналоги — от подписей валидаторов до ZK-доказательств.