Глобальный исследовательский коллектив хакеров SRLabs утверждает, что только две трети узлов Ethereum исправили критическую ошибку безопасности, обнаруженную ранее в этом году.
Отчет SRLabs, предоставленный ZDNet, показал, что критическим недостатком является уязвимость отказа в обслуживании (DoS) в клиенте Ethereum Parity. Как указала SRLabs, эта уязвимость может позволить хакеру удаленно завершить работу узлов Ethereum, запущенных на Parity, путем отправки искаженных пакетов данных. ZDNet отмечает:
Если достаточное количество вредоносных узлов сокрушит сеть и получит 51% вычислительной мощности, они могут совершать двойные расходы и проводить несостоятельные транзакции.
В то время как проблема была решена с выпуском обновления клиента Parity Ethereum v2.2.10 в середине февраля - всего через несколько дней после того, как SRLabs сообщила об ошибке, исследователь SRLabs Карстен Нол сказал ZDNet:
Согласно нашим собранным данным, только две трети узлов были исправлены до сих пор.
Через месяц после того, как проблема была успешно исправлена в обновлении Parity, исследователи SRLabs, по сообщениям, сканировали блокчейн Ethereum, чтобы проверить, сколько узлов Parity были обновлены до исправленной версии. В отчете отмечается:
Через месяц после этого оповещения мы использовали данные из Ethernodes.org для оценки безопасности ландшафта узлов Ethereum и обнаружили, что около 40% всех отсканированных узлов Parity Ethereum [...] остались не исправленными и, следовательно, уязвимыми для атаки.
Сообщается, что данные указывают на то, что непатентованные узлы Parity составляют 15% всех отсканированных узлов, а это означает, что 15% всех узлов Ethereum уязвимы для потенциальной Атаки 51.
Медленный темп исправления в ответ на обнаруженные уязвимости был дополнительно продемонстрирован в более широком анализе SRLabs, где почеркивается, что 7% активных узлов Parity Ethereum не были исправлены в течение девяти месяцев, что делает их восприимчивыми к другим обнаруженным недостаткам.
Подобный медленный темп обновления ПО был обнаружен и для другого клиента узла Ethereum, Go-Ethereum (Geth), при этом 44% узлов Geth, по сообщениям, не прошли критическое обновление безопасности (v1.8.21).
Карстен Нол также отметил, что сложному процессу автоматического обновления Parity не хватает надежности, когда узлы не настроены правильно, в то время как у клиента Geth отсутствует система автоматического обновления.
Читайте по теме: Отчет: 376 человек владеют 1/3 всего ETH
ZDNet отмечает, что непатентованные узлы якобы представляют опасность для всей сети, так как они могут выйти из строя, чтобы снизить затраты на проведение Атаки 51 всей криптовалютной сети. В марте этого года исследователи крупной торговой платформы криптовалюты BitMEX обнаружили потенциальную ошибку в своем полном узле Ethereum Parity, которая, как они утверждали, вряд ли будет использована злоумышленниками.