SRLabs: проблемы с обновлением клиентов Ethereum создают риск атаки 51%

Исследователи из Security Research Labs пришли к выводу, что клиенты Ethereum, которые еще не исправили обнаруженные ранее уязвимости, представляют угрозу для всей сети.

Используя данные ethernodes.org, специалисты компании выяснили, что большое количество нодов Ethereum, использующих самые популярные клиенты Parity и Geth, “длительный период времени” остаются открытыми к уже обнаруженным уязвимостям.

Например, разработчики Parity в феврале обнаружили и исправили ошибку, которая позволяла злоумышленникам нарушать работу узлов. Однако, по данным SRLabs, только 2/3 нод с тех пор обновились, чтобы исправить уязвимость. Причем 7% узлов Parity все еще имеют версию, в которой не исправлена уязвимость, обнаруженная в июле прошлого года.

Специалисты SRLabs отметили, что хотя у Parity предусмотрен процесс автоматического обновления, он “страдает от высокой сложности” и не включает все обновления.

Ситуация с актуальными обновлениями клиента Geth оказалась еще хуже.

“Согласно заявленным данным, около 44% узлов Geth, видимых на ethernodes.org, были ниже версии v.1.8.20, критически важного для безопасности обновления, выпущенного за два месяца до нашего исследования”, — подчеркнули аналитики SRLabs.

При этом они отметили, что у Geth отсутствует функция автообновления.

По мнению SRLabs, наличие такого значительного количества потенциально уязвимых для атак узлов делает уязвимой всю сеть Ethereum.

“Если хакер может разрушить большое количество узлов, получить управление 51% сети становится легче. Следовательно, сбои программного обеспечения — серьезная проблема безопасности для узлов блокчейна (в отличие от этого, в других частях программного обеспечения, где хакер обычно не извлекает выгоду из сбоев)”, — предупредили специалисты компании.

Для решения данной проблемы они предлагают внедрить более надежные процессы автообновления клиентов. Также, по их мнению, помогла бы дальнейшая децентрализация сети за счет распределения хэш-мощности, а также широкая осведомленность пользователей о проблемах безопасности.

Напомним, что за прошлый год атаке 51% подвергались сети криптовалют Ethereum Classic, Vertcoin и AurumCoin.