Il Ethereum ecosistema non è diverso rispetto a Windows o IoT paesaggio, dove le falle di sicurezza rimangono senza patch per lunghi periodi di tempo, nonostante la disponibilità di pubblica patch.
In un report condiviso con ZDNet oggi, i ricercatori di sicurezza di SRLabs ha rivelato che una grande fetta di Ethereum client software che gira su di Ethereum nodi non ha ancora ricevuto una patch per una vulnerabilità critica la società scoperto all’inizio di quest’anno.
“Secondo i nostri dati raccolti, solo due terzi di nodi sono state installate le patch finora,” ha detto Karsten Nohl, uno dei ricercatori.
Parità DOS difetto può portare a 51% di attacchi
La vulnerabilità è un denial of service (DoS) una vulnerabilità in Parità client che può essere utilizzato per eseguire Ethereum nodi. Per SRLabs, la vulnerabilità consente a un utente malintenzionato di crash Ethereum nodi (in esecuzione di Parità) per l’invio di pacchetti errati.
Immagine: SRLabs
Il problema è stato risolto con il rilascio della Parità di Ethereum client v2.2.10, a metà febbraio di quest’anno, pochi giorni dopo che è stato segnalato.
Mentre la maggior parte dei DoS difetti sono considerati “a basso impatto” per la maggior parte dei prodotti, non è questo il caso in cryptocurrency mondo.
DoS difetti consente agli aggressori di crash legittimo nodi. Attaccanti spesso sfruttano vulnerabilità DoS contro blockchains per consentire dannoso nodi per ottenere una maggioranza più di quelli legittimi.
Quando gli aggressori crash abbastanza nodi, possono sopraffare la rete e di ottenere una maggioranza del 51% su blockchain, dando loro la possibilità di svolgere un doppio trascorrere attacchi e convalidare dannoso transazioni.
Un sacco di Ethereum clienti rimangono senza patch
Un mese dopo i problemi SRLabs segnalati sono stati corretti, la società acquisita parte del Ethereum blockchain per vedere come molti di Parità nodi ha aggiornato i loro clienti.
“Un mese dopo questo avviso, abbiamo utilizzato i dati dal Ethernodes.org per valutare la sicurezza di Ethereum nodo paesaggio e trovato che circa il 40% di tutti esaminati Parità di Ethereum nodi […] è rimasto senza patch e quindi vulnerabili a questi attacchi,” Nohl ha detto.
La patch di Parità clienti costituito circa il 15% di tutte le analizzati i nodi, il che significa che il 15% di tutti Ethereum nodi sono vulnerabili al 51% attacchi.
Immagine: SRLabs
Inoltre, scansioni più approfondite, inoltre, ha rivelato che il 7% degli attivi Parità di Ethereum nodi non sono stati aggiornati per nove mesi, non ricevono un fix per una questione di sicurezza critica patch nel luglio 2019.
La situazione era simile anche per i nodi che gestiva un diverso Ethereum nodo client –Go-Ethereum (Geth) — con il 44% non riceve un aggiornamento critico (v1.8.21).
Le successive scansioni effettuate negli ultimi due mesi, ha anche mostrato estremamente lento patch ritmo, con i numeri di patch clienti a malapena a scendere.
Imperfetto Ethereum processi di applicazione delle patch
Nohl accusa questa lenta patch ritmo attuale di aggiornamento dei sistemi impiegati da entrambe le Parità e Geth.
“La Parità di Ethereum è un processo di aggiornamento automatico – ma soffre anche di elevata complessità e di alcuni aggiornamenti sono di sinistra,” Nohl ha detto.
Parità di clienti che sono stati configurati in modo non corretto non riceverà aggiornamenti automatici, anche se il nodo manutentori credono. Qualsiasi Parità client che non si sincronizza con il principale Ethereum blockchain o non è disponibile per tutti i nodi, non riceve gli aggiornamenti.
D’altra parte, Geth manca un sistema di aggiornamento automatico del tutto, rendendo il nodo patch di un processo manuale che richiede all’operatore di tenere un occhio fuori per le patch e applicare manualmente quando sono disponibili.
Tutti questi problemi di mettere tutti Ethereum gli utenti a rischio, e non solo i nodi che eseguono versioni vulnerabili. Il numero di patch note non può essere sufficiente per effettuare una diretta 51% in attacco, ma questi vulnerabile nodi può essere arrestato per ridurre il costo di un 51% di attacco e di Ethereum, attualmente stimato in circa 120.000 dollari all’ora.
Tuttavia, Nohl avverte che la patch divario è solo uno dei problemi. Applicazione di patch, la velocità e il ritmo con cui la patch divario si riduce a valori che rendono il 51% attacchi irrealizzabile, è anche un fattore importante.
“La nostra ricerca suggerisce che c’era una finestra di tempo quando un 51% di attacco è più probabile che accada-solo dopo la patch per la vulnerabilità di DoS è stato rilasciato,” Nohl detto a ZDNet. “La possibilità che spara di nuovo quando il prossimo bug è stato trovato, come lungo come patch rimane per lo più manuale e lento processo.”
Inoltre, “le conseguenze della patch divario sarebbe più grave se l’esecuzione di codice remoto sono stati trovati in un popolare client di software,” Nohl ha detto, come RCE difetti possono essere sfruttati per prendere in consegna i nodi del tutto, per gli scenari ancora più pericoloso e dannoso che il 51% degli attacchi.
Ecosistema problemi
La cattiva notizia è che questi problemi non sono univoci per Ethereum e il suo nodo client software.
“Patch problemi sono molto diffuse tra blockchain clienti,” Nohl detto a ZDNet. “La patch gap segnali di una profonda sfiducia nell’autorità centrale, tra cui, ad alcuna autorità in grado di aggiornare automaticamente il software sul vostro computer.”
“Il blockchain patch divario è più fondamentale per tutti i clienti che processo più complesso di protocolli, in particolare smart contatti, dato che questi protocolli, in genere, creano più di superficie per i bug che devono essere patchato.
“Ethereum come il più grande smart tipo di contratto è di più preoccupazione,” Nohl ha detto.
Argomenti Correlati:
Blockchain
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati