研报:未修补的以太坊客户端对整个网络构成安全风险

2051

安全研究实验室(SRLabs)的一项最新研究显示,尚未修补已知漏洞的以太坊客户端会对整个网络构成安全风险。

报告指出,即使在安全缺陷补丁发布后,大量使用流行客户端Parity和Geth的节点仍长时间处于暴露状态。

SRLabs在2月份报告了Parity客户端的一个漏洞,该漏洞可以打开节点直至远程崩溃。截至目前只有三分之二的节点被修复。在SRLabs报告了前述漏洞后不久,Parity就发布了一个官方安全警告以敦促参与者更新他们的节点。

3月2日发布的另一个补丁也没有得到30%的Parity节点支持,而7%的Parity节点仍然容易受到去年7月补丁的关键共识漏洞的攻击。

报告称,虽然Parity客户端确实有一个自动更新过程,但它“高度复杂”,并且不包括全部更新。Geth的补丁方案甚至更糟,Geth的节点中约有44%是低于v.1.8.20版本的。同时,Geth没有自动更新功能。

SR Labs指出,由于大量客户端可能会受到攻击,整个依赖于高度可用节点的以太坊网络也很脆弱。

同时,SR Labs发出警告:如果一个黑客可以摧毁大量的节点,那么他控制51%的网络就会变得更容易。因此,对于区块链节点来说,软件崩溃是一个严重的安全问题(不像在其他软件中,黑客通常不会从软件崩溃中获益)。为了解决这个问题,区块链团队需要开发更可靠的客户端自动更新流程。

报告补充道,进一步分散以太坊网络,将散列电力从集中的矿工手中转移出去也会有所帮助,尽管这似乎不太可能发生,但去中心化的安全意识将是这一举措成功的关键。

版权声明 :本站文章未经授权不得转载。对已获授权的媒体、机构、个人,在使用时须注明来源“汇讯网”
上篇文章巴哈马证券监管机构提出代币销售立法草案
下篇文章加密投资项目OneCoin否认骗局的指控