パッチが適用されていないEthereumクライアントが51%の攻撃リスクをもたらす、と報告
新しい研究によると、既知の脆弱性にまだパッチを当てていないEthereumクライアントは、ネットワーク全体にセキュリティリスクをもたらします。
ethernodes.orgデータを使用したSecurity Research Labsの報告によると、セキュリティ上の欠陥に対するパッチがリリースされた後、最も人気のあるクライアントであるParityとGethを使用する多数のノードが「長期間」公開されたままです。
SRLabsは、2月にParityクライアントにリモートからクラッシュするまでノードを開くことができる脆弱性が報告されたと述べています。
報告書はこう述べている:
「収集したデータによると、これまでにパッチを適用したノードは3分の2にすぎません。この脆弱性を報告した直後に、Parityがセキュリティアラートを発表し、参加者にノードの更新を促しました。」
3月2日にリリースされた別のパッチも、Parityノードの30%に拾われなかった、と言う、Parityノードの7%がまだ7月にパッチを当てられた重大な合意の脆弱性に対して脆弱なバージョンを持っている。
Parityクライアントには自動アップデートプロセスがありますが、「非常に複雑になります」とすべてのアップデートが含まれているわけではありません、とレポートは言います。
グラフ:パッチが適用されていないethereumノードの割合が時間の経過とともにゆっくり減少する(Credit:SRLabs)
Gethのパッチシナリオはさらに悪くなっています、と研究は示しています。
「発表されたヘッダーによると、ethernodes.orgに表示されるGethノードの約44%が、私たちの測定の2か月前にリリースされたセキュリティクリティカルアップデートであるバージョンv.1.8.20より下でした。」とSR Labsチームは言います。 Gethには自動更新機能がないことに注意してください。明らかに設計によるものです。
SR Labsはさらに、潜在的に攻撃にさらされる可能性がある多数のクライアントを残すことによって、ノードの可用性が高いことに依存しているethereumネットワーク全体も脆弱であると述べています。
それは警告します:
「ハッカーが多数のノードをクラッシュさせることができれば、ネットワークの51%を制御することがより簡単になります。したがって、ソフトウェアのクラッシュはブロックチェーンノードにとって重大なセキュリティ上の問題です(ハッカーが通常クラッシュの恩恵を受けない他のソフトウェアとは異なり)。
この問題に対処するために、チームはクライアントを自動更新するための「より信頼性の高い」プロセスが必要であると提案しています。ハッシュの力を鉱山労働者の集中から遠ざけることによってさらにネットワークを分散させることも助けになると思われますが、それは起こりそうになく、広いセキュリティの認識が成功の鍵となります。
ハットチップ: ZDNet
Shutterstockを介したネットワークイメージ