Согласно новому отчёту глобального хакерского исследовательского коллектива Security Research Labs, подготовленному на основании данных портала ethernodes.org, существенная часть нод Ethereum, использующих наиболее распространённые клиенты Parity и Geth, остаётся уязвимой для багов, фиксы для которых были выпущены достаточно давно, что может поставить под удар всю сеть. Об этом пишет ZDNet.
В феврале компания сообщила об уязвимости клиентов Parity, позволяющей удалённо выводить ноды из строя, а теперь решила проверить, насколько широкий отклик получило её предупреждение.
«Согласно собранным данным, только две трети нод были обновлены к настоящему моменту. Вскоре после того, как мы опубликовали сообщение об уязвимости, Parity выпустили уведомление, в котором призвали участников сети обновить свои ноды», – говорится в докладе.
2 марта был выпущен другой патч, который также не был интегрирован 30% нод Parity. Более того, 7% нод остаётся уязвимыми для критического бага в консенсусе, который был устранён ещё в июле прошлого года.
Компания обращает внимание на то, что клиенты Parity имеют функцию автоматического обновления, но ею пользуются не все держатели нод из-за сопутствующих сложностей.
По словам аналитиков, ситуация с Geth оказалась ещё более плачевной: «Около 44% доступных для просмотра через ethernodes.org нод Geth используют версии ниже v.1.8.20, когда было выпущено критически значимое для безопасности обновление». Клиенты Geth функции автообновления не имеют.
Security Research Labs утверждает, что безответственные владельцы нод, доступность которых имеет ключевое значение, открывают векторы для осуществления атак на всю систему: «Если хакер сможет обрушить большое число нод, взять под контроль 51% сети ему станет легче. Таким образом, крах ПО является серьёзной угрозой для безопасности нод в блокчейне».
Для решения проблемы эксперты предлагают интегрировать функцию автоматического обновления в ПО всех нод по умолчанию.
