根据一项新研究,尚未修补已知漏洞的以太坊客户端对整个网络构成安全风险。

来自Security Research Labs的报告使用ethernodes.org数据,表明使用最受欢迎的客户端Parity和Geth的大量节点在补丁后的“延长时间段”暴露了安全漏洞已经发布。

SRLabs表示它在2月份报告了Parity客户端中的一个漏洞,该漏洞可以打开节点,直到远程崩溃。

报告指出:

“根据我们收集的数据,到目前为止只有三分之二的节点已被修补。在我们报告此漏洞后不久,Parity发布了安全警报,敦促参与者更新其节点。“

3月2日发布的另一个补丁也没有得到30%的Parity节点的支持,而7%的Parity节点仍然容易受到去年7月修补的关键共识漏洞的影响。

虽然Parity客户端确实有一个自动更新过程,但它“很复杂”,并不是所有更新都包括在内,报告说。

图表:未修补的以太坊节点的百分比随时间缓慢下降(图片来源:SRLabs)

研究表明,Geth的补丁场景更加糟糕。

“根据他们公布的标题,在ethernodes.org上可见的大约44%的Geth节点低于版本v.1.8.20,这是一个安全关键更新,在我们测量之前两个月发布。”实验室团队,注意到Geth没有自动更新功能,显然是通过设计。

SR实验室继续说,通过让大量客户端可能遭受攻击,整个以太网网络依赖于节点高度可用,也是脆弱的。

它警告:

“如果黑客可以崩溃大量节点,控制51%的网络变得更容易。因此,软件崩溃是区块链节点的一个严重的安全问题(与黑客通常不会从崩溃中受益的其他软件不同)。“

为了解决这个问题,该团队建议需要“更可靠”的自动更新客户端流程。它补充说,通过将散列能力从矿工的集中地移开来进一步分散以太坊网络也会有所帮助,尽管看起来不太可能发生,广泛的安全意识对此举的成功至关重要。

帽子提示: ZDNet

网络图像来自Shutterstock

                    

LEAVE A REPLY

Please enter your comment!
Please enter your name here