Trang chủ Tin Tức Các nodes chưa cập nhật bản vá lỗi của Ethereum có thể...

Các nodes chưa cập nhật bản vá lỗi của Ethereum có thể là nguyên nhân chính gây ra rủi ro tấn công 51%

Bởi
Wilson Nguyen
-

Theo các thông báo mới nhất, các máy trạm của Ethereum chưa cập nhật bản vá lỗi bảo mật có thể gây ra rủi ro cho toàn bộ mạng lưới.

Theo một báo cáo từ Security Research Labs sử dụng dữ liệu từ ethernodes.org chỉ ra rằng một số lượng lớn các nodes sử dụng hai phiên bản phần mềm phổ biến nhất là Parity và Geth đã bị lộ thông tin trong một khoảng thời gian dài sau khi các bản vá các lỗ hổng bảo mật được phát hành.

SRLabs cũng nói rằng họ đã báo cáo một lỗ hổng trong phần mềm Parity vào tháng 2 có thể mở các nodes bị hỏng từ xa.

Báo cáo chỉ ra rằng:

“Theo dữ liệu chúng tôi thu thập được, chỉ có ⅔ các nodes được vá cho tới nay. Ngay sau khi chúng tôi báo cáo lỗ hổng này, Parity đã đưa ra cảnh báo bảo mật, đề xuất người tham gia cập nhật các nodes của họ.

Một bản vá khác được phát hành vào ngày 2/3 cũng không được lựa chọn bởi 30% các nodes Parity, trong khi đó 7% các nodes Parity vẫn đang sử dụng phiên bản dễ bị tấn công tới một lỗ hổng đồng thuận được vá vào tháng 7 năm ngoái.

Mặc dù phần mềm Parity có quy trình cập nhật tự động, nhưng chúng rất phức tạp, và không phải tất cả các bản cập nhật được bao gồm trong đó, báo cáo cho biết.

Nghiên cứu chỉ ra các bản vá cho Geth thậm chí còn tồi tệ hơn.

“Theo công bố của họ, khoảng 44% các nodes Geth hiển thị trên ethnodes.org đang ở các phiên bản thấp hơn v.1.8.20, một bản cập nhật bảo mật quan trọng, được phát hành 2 tháng trước đó sau đánh giá của chúng tôi.”, đội ngũ SRLabs nói, cần lưu ý rằng Geth không có tính năng tự động cập nhật.

Cảnh báo đưa ra từ SRLabs:

“Nếu tin tặc có thể đánh sập số lượng lớn các nodes, việc kiểm soát 51% mạng lưới trở nên dễ dàng hơn. Do đó, sự cố phần mềm là mối quan tâm bảo mật nghiêm trọng đối với các nodes blockchain (không giống như các phần mềm khác, tin tặc không thường xuyên hưởng lợi từ sự cố).”

Để giải quyết vấn đề này, nhóm nghiên cứu đề xuất các quy trình tin cậy hơn yêu cầu các máy trạm tự động cập nhật. Tăng tính phân cấp của mạng lưới Ethereum bằng cách di chuyển tốc độ sức mạnh tính toán ra khỏi nơi tập trung các thợ đào cũng sẽ giúp ích cho việc này, mặc dù điều đó dường như không thể xảy ra và nhận thức bảo mật rộng rãi sẽ là chìa khó cho sự thành công của việc di chuyển này.

Nguồn: Coindesk

 

BÀI VIẾT LIÊN QUANXEM THÊM