De Ethereum ecosysteem is niet anders dan de Ramen of IoT landschap, waar veiligheidsproblemen blijven ongepatchte voor lange perioden van tijd, ondanks de beschikbaarheid van openbare plekken.
In een rapport gedeeld met ZDNet vandaag, veiligheid onderzoekers van SRLabs bleek dat een groot deel van de Ethereum client-software die wordt uitgevoerd op Ethereum knooppunten nog niet heeft ontvangen een patch voor een kritiek lek het bedrijf ontdekte eerder dit jaar.
“Volgens de door ons verzamelde gegevens, slechts twee derde van de knooppunten gepatched zo ver,” zegt Karsten Nohl, één van de onderzoekers.
Pariteit DOS fout kan leiden tot 51% van de aanvallen
De kwetsbaarheid is een denial-of-service (DoS) – aanval in de Pariteit client die gebruikt kan worden om Ethereum knooppunten. Per SRLabs, de kwetsbaarheid kan een aanvaller op afstand crash Ethereum knooppunten (Pariteit) door het verzenden van ongeldige pakketten.
Afbeelding: SRLabs
Het probleem is opgelost met de release van de Pariteit Ethereum opdrachtgever v2.2.10, medio februari van dit jaar, een paar dagen nadat het werd gemeld.
Terwijl de meeste DoS onvolkomenheden worden beschouwd als “weinig impact” voor de meeste producten is dit niet het geval is in de cryptocurrency wereld.
DoS gebreken aanvallers crash legitieme knooppunten. Aanvallers vaak profiteren van DoS kwetsbaarheden tegen blockchains om schadelijke knooppunten te krijgen van een meerderheid van meer dan rechtmatig.
Wanneer aanvallers crash genoeg knooppunten, ze kunnen overweldigen het netwerk en krijgen een 51% meerderheid op de blockchain, geeft hen de mogelijkheid om uit te voeren dubbele te besteden aan het aanvallen en valideren van schadelijke transacties.
Veel van Ethereum cliënten blijven ongepatchte
Een maand na de problemen SRLabs gemeld werden gepatcht, het bedrijf gescande deel van de Ethereum blockchain om te zien hoeveel Pariteit knooppunten had een update van hun klanten.
“Een maand na deze melding, gebruikten we gegevens van Ethernodes.org voor het beoordelen van de veiligheid van de Ethereum knooppunt landschap en het blijkt dat ongeveer 40% van alle gescande Pariteit Ethereum nodes […] bleef onbehandelde en dus kwetsbaar zijn voor de genoemde aanval,” Nohl zei.
De niet gecorrigeerde Pariteit opdrachtgevers ongeveer 15% van alle gescande knooppunten, wat betekent dat 15% van alle Ethereum knooppunten waren kwetsbaar voor 51% van de aanvallen.
Afbeelding: SRLabs
Bovendien, meer diepgaande scans bleek ook dat 7% van de actieve Pariteit Ethereum knooppunten niet is hersteld voor negen maanden — niet ontvangen van een oplossing voor een kritiek beveiligingsprobleem patched in juli 2019.
De situatie was vergelijkbaar voor de knooppunten die liep een andere Ethereum knooppunt –Go-Ethereum (Geth) — met 44% het niet ontvangen van een kritische security update (v1.8.21).
Volgende scans uitgevoerd over de afgelopen twee maanden, toonde ook aan een zeer langzaam patch tempo, met de nummers van niet gecorrigeerde klanten nauwelijks naar beneden.
Gebrekkig Ethereum het patchen van processen
Nohl wijt dit langzaam patchen ritme op de huidige update systemen door zowel de Pariteit en de Geth.
“De Pariteit Ethereum heeft een automatische update-proces – maar het lijdt aan een hoge complexiteit en sommige updates zijn weggelaten,” Nohl zei.
Pariteit clients die zijn geconfigureerd zal geen automatische updates ontvangt, zelfs als knooppunt beheerders geloven dat ze zijn. Een Pariteit opdrachtgever die niet synchroniseren met de belangrijkste Ethereum blockchain, of is niet in alle knooppunten, ontvangt geen updates.
Aan de andere kant, Geth ontbreken van een automatisch update systeem helemaal, waardoor knooppunt patchen van een handmatig proces dat de exploitant verplicht om in de gaten te houden voor patches en pas ze handmatig wanneer ze beschikbaar zijn.
Op al deze punten alle Ethereum gebruikers in gevaar en niet alleen de knooppunten waarop ongepatchte versies. Het aantal onbehandelde noten kan niet genoeg worden om het uitvoeren van een directe 51% aanval, maar deze kwetsbare knooppunten kan worden verpletterd om de kosten van 51% van de aanval op Ethereum, momenteel geschat op ongeveer 120.000 dollar per uur.
Echter, Nohl waarschuwt dat de patch gat is slechts één van de problemen. Patchen snelheid is een ander, en het tempo waarin de patch kloof verkleind waarden die 51% van de aanvallen onhaalbaar is ook een belangrijke factor.
“Ons onderzoek suggereert dat er een tijd was venster als 51% van de aanval was waarschijnlijk meer gebeuren-vlak na de beveiligingspatch voor de DoS-beveiligingsprobleem werd uitgebracht,” Nohl vertelde ZDNet. “De kans zal schieten weer als de volgende bug is gevonden, zolang het patchen blijft meestal handmatig en langzaam proces.”
“Bovendien,” de gevolgen van de patch kloof zou heel ernstig zijn als een uitvoering van externe code werden gevonden in een populaire client software,” Nohl zei, als RCE fouten kunnen worden benut om over te nemen knooppunten in totaal, voor de scenario ‘ s nog gevaarlijker en schadelijker dan 51% van de aanvallen.
Ecosysteem problemen
Het slechte nieuws is dat deze problemen zijn niet uniek voor Ethereum en het knooppunt client software.
“Patch problemen zijn wijdverbreid onder blockchain klanten,” Nohl vertelde ZDNet. “De patch kloof signalen een diepgeworteld wantrouwen in de centrale autoriteit, met inbegrip van enige instantie die kan automatisch software bijwerken op uw computer.”
“De blockchain patch kloof is meer van cruciaal belang voor cliënten die het proces meer complexe protocollen, in het bijzonder slimme contacten, omdat deze protocollen maakt meestal meer oppervlak voor fouten die moeten worden opgelapt.
“Ethereum als de grootste smart contract technologie is van groot belang,” Nohl zei.
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters