双生树漏洞存在逻辑缺陷漏洞(CNVD-2020-66571)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2020-12-25漏洞描述
概述: Merkle Tree (MT)是区块链技术中,为保障数据防篡改及快速验证而使用的基本算法之一。由于一些MT构建算法实现中存在问题,使得攻击者可以在不影响区块哈希的前提下,篡改部分区块数据。 成因: 具体问题表现为,逐层计算父哈希时,额外约定了子节点按照哈希大小排序,导致交换处在MT兄弟节点位置的任意2个或2组叶子节点(及TX或Receipts),均不会改变父节点及树根MTR的值,也不会影响最终的区块头及区块哈希值,即本质上损失了TX或Receipts的顺序信息,使得篡改交易顺序后区块依然合法可被接受。 危害: 攻击者通过篡改交易顺序和广播恶意区块,使得网络中一部分节点认可恶意区块,一部分认可原区块,可造成区块链系统静默分叉、双花攻击,或带有潜伏期的不可逆共识失败,即破坏区块链的数据一致性或不可逆的拒绝服务漏洞,且不易察觉,危害极大。 所有使用了有漏洞的MT算法实现的区块链系统,均可能受此影响解决建议
检查MT构建算法,去除针对子节点的哈希排序逻辑,直接按照区块里的交易顺序构建MT。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2020-66571 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论