研究表示:以太坊大多数节点「更新补丁缓慢」,将增加 51% 攻击的风险

研究表示:以太坊大多数节点「更新补丁缓慢」,将增加 51% 攻击的风险

根据一项研究报告显示,以太坊主流的客户端中有一个尚未修补的已知漏洞,将对整个网络构成安全风险。

 

为 Security Reserch Labs(SRLabs) 的研究机构透过 ethernodes.org 数据报告表明,在发布安全漏洞补丁后,以太坊节点运行中,最受受欢迎的两个客户端 Parity 和 Geth 的大量节点「仍然存在漏洞」已经有一段时间了。

SRLabs 表示,它在2月份报告了 Parity 客户端的一个漏洞,该漏洞可以远端的控制节点并使其崩溃。

报告指出:

「因为在我们报告此漏洞后不久,Parity 发布了一个安全警报,敦促节点运行者更新他们的节点。根据我们收集的数据,到目前为止只有三分之二的节点被修补。」

据称,3 月 2 日发布的另一个补丁,也有 30% 的 Parity 节点的尚未更新,而关于去年 7 月修补的共识机制漏洞的攻击,7% 的 Parity 节点仍然尚未更新。

报告称,虽然Parity客户端确实有一个自动更新过程,但它「非常复杂」,并不包括所有更新。

 – 以太坊客户端节点更新速度缓慢 (来源:Security Research Labs)-

此外,该机认为 Geth 的补丁方案则更为糟糕。

「根据他们发送的『headers』,在 ethernodes.org 上可见的大约 44% 的 Geth 节点比版本 v.1.8.20 更旧,该次的更新包含一个十分重要的安全更新,且早在我们统计之前两个月就已发布。」SR 实验室团队说,并指出 Geth 没有自动更新功能。

整个以太网网路很大程度上依赖于节点的高度可用性,如果大量客户端暴露在可能受到攻击的情况下,这会让网路变得十分脆弱。

它警告说:

「如果骇客可以使大量节点崩溃,控制 51% 的网络就变得更容易。因此,软体崩溃是区块链节点的一大严重安全问题。」

为了解决这个问题,该团队建议需要「更可靠」的自动更新客户端流程。它补充说,通过将算力从矿工的中心化区域,进一步分散以太坊网络也会有所帮助,虽然这似乎不太容易,但广泛的安全意识提升将在长期来说会对网路的结构有所帮助。

📍相关报导📍

亚马逊(Amazon)旗下 AWS 服务「区块链管理系统」正式上线

美梦成真!今天起将可以在 Amazon 以闪电网路支付比特币


 

您可能还喜欢...

发表评论

电子邮件地址不会被公开。 必填项已用*标注