Đang thanh toán

Tập đoàn nghiên cứu hack toàn cầu SRLabs tuyên bố rằng chỉ 2/3 phần mềm máy khách Ethereum chạy trên các nút Ethereum đã được vá chống lại lỗ hổng bảo mật quan trọng được phát hiện vào đầu năm nay. Tin tức đã được báo cáo bởi trang web công nghệ kinh doanh ZDNet vào ngày 17 tháng Năm.

Một báo cáo SRLabs vẻ chia sẻ với ZDNet đã báo cáo tiết lộ rằng lỗ hổng quan trọng là từ chối dịch vụ (DoS) dễ bị tổn thương trong các khách hàng chẵn lẻ Ethereum. Như SRLabs đã vạch ra, lỗ hổng có thể cho phép tin tặc đánh sập các nút Parity Ethereum hợp pháp từ xa bằng cách gửi các gói không đúng định dạng.

Nếu các nút độc hại đủ áp đảo mạng và chiếm đa số 51%, họ có khả năng có thể cam kết chi tiêu gấp đôi và xác thực các giao dịch không có căn cứ, ZDNet lưu ý.

Trong khi vấn đề được giải quyết với việc phát hành ứng dụng khách Parity Ethereum v2.2.10 vào giữa tháng 2 – chỉ vài ngày sau khi lỗ hổng được báo cáo bởi SRLabs – nhà nghiên cứu của Karab, Karsten Nohl nói với ZDNet rằng:

“Theo dữ liệu thu thập được của chúng tôi, chỉ có hai phần ba các nút đã được vá cho đến nay.”

Một tháng sau khi vấn đề được vá thành công trong bản phát hành Parity mới, các nhà nghiên cứu của SRLabs đã quét chuỗi khối Ethereum để kiểm tra xem có bao nhiêu nút Parity đã cập nhật ứng dụng khách của họ lên phiên bản mới. Báo cáo ghi chú:

“Một tháng sau cảnh báo này, chúng tôi đã sử dụng dữ liệu từ Ethernodes.org để đánh giá tính bảo mật của cảnh quan nút Ethereum và thấy rằng khoảng 40% tất cả các nút Parity Ethereum được quét […] vẫn chưa được vá và do đó dễ bị tấn công. “

Dữ liệu được báo cáo chỉ ra rằng các nút Parity chưa được vá bao gồm 15% của tất cả các nút được quét – ngụ ý rằng 15% của tất cả các nút Ethereum dễ bị tấn công 51%.

Tốc độ chậm chạp của việc vá lỗi để đối phó với các lỗ hổng được phát hiện đã được chứng minh rõ ràng hơn nữa trong phân tích rộng hơn của SRLabs, cho thấy 7% các nút Parity Ethereum hoạt động đã không được vá trong chín tháng, khiến chúng dễ bị các lỗ hổng khác phát hiện.

Một tốc độ chậm tương tự đã được phát hiện cho một máy khách nút Ethereum khác, Go-Ethereum (Geth), với 44% các nút Geth được báo cáo là không trải qua bản cập nhật bảo mật quan trọng (v1.8.21).

Nohl lưu ý rằng quá trình cập nhật tự động rất phức tạp của Parity thiếu độ tin cậy khi các nút không được cấu hình đúng, trong khi máy khách Geth thiếu hệ thống cập nhật tự động hoàn toàn.

Các nút không được ghép có vẻ gây rủi ro cho toàn bộ mạng, vì chúng có thể bị sập để giảm chi phí thực hiện cuộc tấn công 51% trên toàn blockchain, ZDNet lưu ý.

Tháng này, các nhà nghiên cứu từ lớn cryptocurrency sàn giao dịch BitMEX phát hiện ra một lỗi tiềm năng trong nút đầy đủ chẵn lẻ Ethereum của nó, mà họ tuyên bố là khó có thể khai thác.

BÌNH LUẬN

Please enter your comment!
Please enter your name here