Специалисты из Qihoo 360 нашли критический баг в коде NEO

Представители компании Qihoo 360, занимающейся разработкой продукции в сфере кибербезопасности, нашли уязвимость в коде NEO, позволяющую оказать значительное воздействие на блокчейн в ходе DoS-атаки.

По словам специалистов из Qihoo 360, критический баг содержался в контракте системного вызова, использующегося для того, чтобы обратиться к конкретному объекту в упорядоченной стековой памяти виртуальной машины. Оказалось, что во время обращения к контрактам не учитывался вложенный массив, потому был возможен краш в системе смарт-контрактов.

Данным багом вполне могли воспользоваться находчивые хакеры, начав банальную DOS-атаку, не говоря уже об их более подкованных «коллегах», способных «убить» сразу несколько узлов (мастернод), интегрировав в сеть зараженный смарт-контракт.

Естественно, подобная оплошность является равносильной выстрелу в упор, тем более для одной из популярных блокчейн-сетей, потому ответ на заявление специалистов пришел от NEO всего за 7 минут, а сам баг был полностью устранен за час.

NEO очень повезло, что сотрудники Qihoo 360 прознали об ошибке быстрее злоумышленников. Кто знает, чем бы могла обернуться данная уязвимость, если бы все случилось наоборот?