报告称,未经修补的以太坊客户构成51%的攻击风险。

根据最新研究,仍然有N’T修补已知漏洞的以太坊客户机对整个网络构成安全风险。

使用ethernodes.org数据的安全研究实验室的一份报告表明,在发布安全缺陷修补程序后,大量使用最流行客户端奇偶校验和geth的节点在“中暴露了更长的时间”。

srlabs说,它在2月份报告了奇偶校验客户机中的一个漏洞,该漏洞可以打开远程崩溃的节点。

报告指出:

“根据我们收集的数据,到目前为止,只有三分之二的节点进行了修补。报告此漏洞后不久,Parity发布了安全警报,敦促参与者更新其节点。”

3月2日发布的另一个补丁也没有被30%的奇偶校验节点接收,它说,而7%的奇偶校验节点仍然有一个版本容易受到去年7月修补的关键共识漏洞的攻击。

报告说,尽管奇偶校验客户机有一个自动更新过程,但它的“缓冲来自高复杂性”,并不是所有的更新都包括在内。

图表:随着时间的推移,未补丁以太坊节点的百分比缓慢下降(学分:srlabs)

研究表明,geth的补丁方案更糟。

“根据他们公布的消息头,在ethernodes.org上可见的geth节点中,大约44%低于版本v.1.8.20,这是一个安全关键更新,在我们进行测量前两个月发布的。”说,SR实验室团队注意到geth没有自动更新功能,显然是设计上的。

SR实验室继续说,通过让大量客户机可能面临攻击,整个以太坊网络(依赖于拥有高度可用的节点)也很脆弱。

它警告说:

“如果黑客可以破坏大量节点,那么控制51%的网络就变得容易了。因此,对于区块链节点来说,软件崩溃是一个严重的安全问题(与其他软件中黑客通常不会从崩溃中受益的部分不同)。”

为了解决这个问题,团队建议需要“更可靠的”流程来自动更新客户机。它补充说,通过将散列能量从矿工集中区转移出去进一步分散以太坊网络也会有所帮助,尽管这看起来不太可能发生,广泛的安全意识将是移动6037成功的关键。

帽子尖端:ZDNET

通过Shutterstock的网络图像

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注