- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Клиенты Ethereum, не совершившие апгрейды для устранения известных уязвимостей, несут угрозу всей сети. Об этом говорится в новом исследовании базирующейся в Берлине Security Research Labs.
Использовав данные ethernodes, аналитики установили, что большое число нод с наиболее популярными клиентами Parity и Geth еще долгое время после релизов официальных патчей не обновлялись, оставаясь таким образом уязвимыми к атакам.
В качестве примера Security Research Labs приводит уязвимость, которую они обнаружили в феврале в клиенте Parity – используя ее, злоумышленники могут дистанционно нарушать работу нод.
Аналитики отмечают, что хотя клиенты Parity и могут обновляться в автоматическом режиме, это достаточно сложный процесс, и не все ноды поддерживают эту опцию.
Ситуация с клиентами Geth, которые не имеют функции автообновления, при этом еще более сложная.
В качестве решения проблемы Security Research Labs предлагает интегрировать функцию автоматического обновления в ПО всех нод по умолчанию. Еще одна возможная мера, помимо повышения осведомленности участников сети, – более высокий уровень децентрализации сети за счет снижения концентрации хешрейта у майнеров, хотя реализовать это будет непросто.
Напомним, в марте исследовательское подразделение биткоин-биржи BitMEX запустило аналитический ресурс nodestats для сбора информации о работе различных имплементаций ПО для сети Ethereum и сравнения их эффективности. Одновременно с этим BitMEX запустила полную ноду на базе клиента Parity, обнаружив в ее работе определенные проблемы.
Использовав данные ethernodes, аналитики установили, что большое число нод с наиболее популярными клиентами Parity и Geth еще долгое время после релизов официальных патчей не обновлялись, оставаясь таким образом уязвимыми к атакам.
В качестве примера Security Research Labs приводит уязвимость, которую они обнаружили в феврале в клиенте Parity – используя ее, злоумышленники могут дистанционно нарушать работу нод.
Также они говорят о другом патче, который был выпущен 2 марта — его не установили 30% нод Parity. Еще 7% клиентов находятся на версии, открытой к критической уязвимости консенсуса, хотя необходимый апгрейд был выпущен в июле прошлого года.
Аналитики отмечают, что хотя клиенты Parity и могут обновляться в автоматическом режиме, это достаточно сложный процесс, и не все ноды поддерживают эту опцию.
Ситуация с клиентами Geth, которые не имеют функции автообновления, при этом еще более сложная.
По их словам, оставляя такое большое число нод открытыми к атакам, их владельцы ставят под угрозу всю сеть Ethereum, делая ее в том числе уязвимой к атакам 51%.
В качестве решения проблемы Security Research Labs предлагает интегрировать функцию автоматического обновления в ПО всех нод по умолчанию. Еще одна возможная мера, помимо повышения осведомленности участников сети, – более высокий уровень децентрализации сети за счет снижения концентрации хешрейта у майнеров, хотя реализовать это будет непросто.
Напомним, в марте исследовательское подразделение биткоин-биржи BitMEX запустило аналитический ресурс nodestats для сбора информации о работе различных имплементаций ПО для сети Ethereum и сравнения их эффективности. Одновременно с этим BitMEX запустила полную ноду на базе клиента Parity, обнаружив в ее работе определенные проблемы.
