Ang mga Unpatched Ethereum Client ay Nagdudulot ng 51% na Panganib sa Pag-atake, Sabi ng Ulat

Ang mga kliyente ng Ethereum na T pa rin nag-patch ng mga kilalang kahinaan ay nagdudulot ng panganib sa seguridad sa buong network, ayon sa bagong pananaliksik.

A ulat mula sa Security Research Labs na gumamit ng data ng ethernodes.org, ay nagpapahiwatig na ang malaking bilang ng mga node na gumagamit ng mga pinakasikat na kliyenteng Parity at Geth ay naiwang nakalabas sa loob ng "mga pinahabang yugto ng panahon" pagkatapos mailabas ang mga patch para sa mga bahid sa seguridad.

Sinasabi ng SRLabs na nag-ulat ito ng isang kahinaan sa Parity client noong Pebrero na maaaring magbukas ng mga node hanggang sa ma-crash nang malayuan.

Ang ulat ay nagsasaad:

"Ayon sa aming nakolektang data, dalawang-katlo lamang ng mga node ang na-patch sa ngayon. Di-nagtagal pagkatapos naming iulat ang kahinaang ito, naglabas si Parity ng alerto sa seguridad, na humihimok sa mga kalahok na i-update ang kanilang mga node."

Ang isa pang patch, na inilabas noong Marso 2, ay hindi rin nakuha ng 30% ng mga Parity node, sabi nito, habang 7 porsiyento ng mga Parity node ay mayroon pa ring bersyon na mahina sa isang kritikal na consensus na kahinaan na na-patch noong Hulyo.

Bagama't ang kliyente ng Parity ay may automated na proseso ng pag-update, ito ay "nagdurusa sa mataas na pagiging kumplikado" at hindi lahat ng mga update ay kasama, sabi ng ulat.

Ang senaryo ng patch para sa Geth ay mas masahol pa, ipinahihiwatig ng pananaliksik.

"Ayon sa kanilang mga inihayag na header, humigit-kumulang 44% ng mga Geth node na nakikita sa ethernodes.org ay mas mababa sa bersyon v.1.8.20, isang update na kritikal sa seguridad, na inilabas dalawang buwan bago ang aming pagsukat.," sabi ng SR Labs team, at binanggit na ang Geth ay walang feature na auto-update, na tila ayon sa disenyo.

Sinabi pa ng SR Labs na sa pamamagitan ng pag-iiwan sa malaking bilang ng mga kliyente na posibleng bukas sa mga pag-atake, ang buong network ng Ethereum , na umaasa sa pagkakaroon ng mga node na lubos na magagamit, ay mahina rin.

Nagbabala ito:

"Kung ang isang hacker ay maaaring mag-crash ng isang malaking bilang ng mga node, ang pagkontrol sa 51% ng network ay nagiging mas madali. Kaya, ang mga pag-crash ng software ay isang seryosong alalahanin sa seguridad para sa mga blockchain node (hindi katulad sa ibang mga piraso ng software kung saan ang hacker ay hindi karaniwang nakikinabang mula sa isang pag-crash)."

Upang matugunan ang isyu, iminumungkahi ng team na kailangan ang "mas maaasahan" na mga proseso para sa awtomatikong pag-update ng mga kliyente. Ang karagdagang pag-desentralisa sa network ng Ethereum sa pamamagitan ng paglipat ng hashing power palayo sa mga konsentrasyon ng mga minero ay makakatulong din, idinagdag nito, kahit na LOOKS malabong mangyari iyon at ang malawak na kamalayan sa seguridad ay magiging susi sa tagumpay ng paglipat.

Tip ng sumbrero: ZDNet

Network larawan sa pamamagitan ng Shutterstock