研报：未修补的以太坊客户端对整个网络构成安全风险

安全研究实验室（SRLabs）的一项最新研究显示，尚未修补已知漏洞的以太坊客户端会对整个网络构成安全风险。

报告指出，即使在安全缺陷补丁发布后，大量使用流行客户端Parity和Geth的节点仍长时间处于暴露状态。

SRLabs在2月份报告了Parity客户端的一个漏洞，该漏洞可以打开节点直至远程崩溃。截至目前只有三分之二的节点被修复。在SRLabs报告了前述漏洞后不久，Parity就发布了一个官方安全警告以敦促参与者更新他们的节点。

3月2日发布的另一个补丁也没有得到30％的Parity节点支持，而7％的Parity节点仍然容易受到去年7月补丁的关键共识漏洞的攻击。

报告称，虽然Parity客户端确实有一个自动更新过程，但它“高度复杂”，并且不包括全部更新。Geth的补丁方案甚至更糟，Geth的节点中约有44%是低于v.1.8.20版本的。同时，Geth没有自动更新功能。

SR Labs指出，由于大量客户端可能会受到攻击，整个依赖于高度可用节点的以太坊网络也很脆弱。

同时，SR Labs发出警告：如果一个黑客可以摧毁大量的节点，那么他控制51%的网络就会变得更容易。因此，对于区块链节点来说，软件崩溃是一个严重的安全问题(不像在其他软件中，黑客通常不会从软件崩溃中获益)。为了解决这个问题，区块链团队需要开发更可靠的客户端自动更新流程。

报告补充道，进一步分散以太坊网络，将散列电力从集中的矿工手中转移出去也会有所帮助，尽管这似乎不太可能发生，但去中心化的安全意识将是这一举措成功的关键。