Клиенты Ethereum, не совершившие апгрейды для устранения известных уязвимостей несут угрозу всей сети. Об этом говорится в новом исследовании базирующейся в Берлине Security Research Labs.
Blockchain technology assumes that participants take rational actions. Leaving yourself and others exposed to hacking is not rational, but all too common among blockchain users: https://t.co/oBWTudCqZR#blockchain #cryptocurrency #ethereum #SRLabs #patchgap #patching #research pic.twitter.com/edreoIs20p
— Security_Research_Labs (@SecReLabs) May 17, 2019
Использовав данные ethernodes.org, аналитики установили, что большое число нод с наиболее популярными клиентами Parity и Geth еще долгое время после релизов официальных патчей не обновлялись, оставаясь таким образом уязвимыми к атакам.
В качестве примера Security Research Labs приводит уязвимость, которую они обнаружили в феврале в клиенте Parity – используя ее, злоумышленники могут дистанционно нарушать работу нод.
«Согласно полученным данным, к сегодняшнему дню пропатчены только две трети нод. Вскоре после того как мы сообщили об уязвимости, Parity выпустили предупреждение о нарушении защиты, призвав участников проапгрейдить ноды», — пишут исследователи.
Также они говорят о другом патче, который был выпущен 2 марта — его не установили 30% нод Parity. Еще 7% клиентов находятся на версии, открытой к критической уязвимости консенсуса, хотя необходимый апгрейд был выпущен в июле прошлого года.
Аналитики отмечают, что хотя клиенты Parity и могут обновляться в автоматическом режиме, это достаточно сложный процесс, и не все ноды поддерживают эту опцию.
Ситуация с клиентами Geth, которые не имеют функции автообновления, при этом еще более сложная.
«Около 44% видимых на ethernodes.org нод Geth используют версии ниже v.1.8.20, критически важного с точки зрения обновления», — говорят представители Security Research Labs
По их словам, оставляя такое большое число нод открытыми к атакам, их владельцы ставят под угрозу всю сеть Ethereum, делая ее в том числе уязвимой к атакам 51%.
В качестве решения проблемы Security Research Labs предлагает интегрировать функцию автоматического обновления в ПО всех нод по умолчанию. Еще одна возможная мера, помимо повышения осведомленности участников сети, – более высокий уровень децентрализации сети за счет снижения концентрации хешрейта у майнеров, хотя реализовать это будет непросто.
Напомним, в марте исследовательское подразделение биткоин-биржи BitMEX запустило аналитический ресурс nodestats для сбора информации о работе различных имплементаций ПО для сети Ethereum и сравнения их эффективности. Одновременно с этим BitMEX запустила полную ноду на базе клиента Parity, обнаружив в ее работе определенные проблемы.
