智囊团警告以太坊存在安全风险

Think Tank Warns of Ethereum Security Risks 101

资料来源:IStock/Microstockhub

据总部位于柏林的黑客研究集体和咨询智库安全研究实验室最近的一份报告显示,由于一些客户仍然未被付费,整个以太坊网络可能面临51%的攻击威胁。这是因为以太坊中整整三分之一的奇偶校验节点在发布一个月后还没有应用关键的安全补丁。

控制一个网络上超过一半的计算能力,也被称为51%的攻击,意味着一个恶意的参与者可以覆盖网络中其他参与者作出的决定,这使得他们能够在其他问题上加倍花费资金。智囊团声称,使用软件客户端奇偶校验访问尚未更新客户端的以太坊网络的节点可能由于系统中的错误而远程崩溃。据安全研究实验室称,自从为这个bug发布了补丁之后,所有奇偶校验节点中只有三分之二被更新。

“在该警报[于2019年2月发出]一个月后,我们使用ethernodes.org的数据评估了ethereum节点布局的安全性,发现大约40%的扫描对等ethereum节点(占所有扫描节点的15%)仍处于未修补状态,因此容易受到上述攻击。他们报告说,2019年3月2日发布的另一个补丁达到了以太坊对等节点的70%左右,仍然有30%的节点过时了。

报告接着补充说,他们建议使用自动更新功能的“需要更可靠的更新机制”,这是奇偶校验确实有的功能,但“它的复杂性很高,有些更新被遗漏了。”当使用默认的奇偶校验设置时,客户端只下载其认为关键的补丁,以及这个门槛似乎太低了。

奇偶校验并不是唯一出现此问题的客户端。geth,以太坊客户端的另一个流行选择,在设计上没有这种自动更新机制,这也给他们带来了问题:“根据他们公布的消息头,在ethernodes.org上可见的geth节点中,大约44%低于版本v.1.8.20,这是一个安全关键的更新,在我们测量前两个月发布。”

尽管如此,报告还补充说,并非所有节点都具有相同的计算能力,因此风险可能会降低,因为“计算能力似乎高度集中在少数节点之间。”如果这些节点得到了良好的维护,其他参与者几乎无需担心-但风险非常大,不应出现被低估了。

这不是以太坊网络第一次面临严重风险。2018年12月,一些以太坊采矿平台受到攻击,原因是一个港口暴露在不该暴露的地方,很可能是因为矿工在不知道风险的情况下对其进行了修补。

此外,总部位于马里兰州巴尔的摩的安全咨询公司ISE最近表示,他们发现了732个私钥以及相应的公钥,它们向以太坊区块链承诺了49060笔交易。

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注