根據一項研究報告顯示,以太坊主流的客戶端中有一個尚未修補的已知漏洞,將對整個網絡構成安全風險。
名為 Security Reserch Labs(SRLabs) 的研究機構透過 ethernodes.org 數據報告表明,在發布安全漏洞補丁後,以太坊節點運行中,最受受歡迎的兩個客戶端 Parity 和 Geth 的大量節點「仍然存在漏洞」已經有一段時間了。
SRLabs 表示,它在2月份報告了 Parity 客戶端的一個漏洞,該漏洞可以遠端的控制節點並使其崩潰。
報告指出:
「因為在我們報告此漏洞後不久,Parity 發布了一個安全警報,敦促節點運行者更新他們的節點。根據我們收集的數據,到目前為止只有三分之二的節點被修補。」
據稱,3 月 2 日發布的另一個補丁,也有 30% 的 Parity 節點的尚未更新,而關於去年 7 月修補的共識機制漏洞的攻擊,7% 的 Parity 節點仍然尚未更新。
報告稱,雖然Parity客戶端確實有一個自動更新過程,但它「非常複雜」,並不包括所有更新。
– 以太坊客戶端節點更新速度緩慢 (來源:Security Research Labs)-
此外,該機認為 Geth 的補丁方案則更為糟糕。
「根據他們發送的『headers』,在 ethernodes.org 上可見的大約 44% 的 Geth 節點比版本 v.1.8.20 更舊,該次的更新包含一個十分重要的安全更新,且早在我們統計之前兩個月就已發布。」SR 實驗室團隊說,並指出 Geth 沒有自動更新功能。
整個以太網網路很大程度上依賴於節點的高度可用性,如果大量客戶端暴露在可能受到攻擊的情況下,這會讓網路變得十分脆弱。
它警告說:
「如果駭客可以使大量節點崩潰,控制 51% 的網絡就變得更容易。因此,軟體崩潰是區塊鏈節點的一大嚴重安全問題。」
為了解決這個問題,該團隊建議需要「更可靠」的自動更新客戶端流程。它補充說,通過將算力從礦工的中心化區域,進一步分散以太坊網絡也會有所幫助,雖然這似乎不太容易,但廣泛的安全意識提升將在長期來說會對網路的結構有所幫助。
?相關報導?
亞馬遜(Amazon)旗下 AWS 服務「區塊鏈管理系統」正式上線
美夢成真!今天起將可以在 Amazon 以閃電網路支付比特幣
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
