本周二,第二受歡迎的以太坊應用內發現了可能導致計算機關閉的代碼漏洞。
Parity將全球3,000多台計算機伺服器連接到以太坊區塊鏈網絡。
周四,負責構建和維護以太坊客戶端的初創公司Parity Technologies發布了更新代碼以修復該漏洞。
區塊鏈數據分析初創公司Amberdata的工程副總裁Scott Bigelow表示,容易崩潰只有一小部分Parity伺服器。同時也是Amberdata首先發現了這個漏洞並將其透露給了Parity Technologies團隊。
"有一個漏洞,[如果被利用]會導致Parity客戶端所有服務立即崩潰,"Bigelow說,"不太可能被竊取資金或做其他壞事,但可能關閉部分以太坊節點。"
在周四發布的博客中,Parity Technologies寫道:
"請儘快將您的節點更新到最新版本,特別是如果您正在運行已啟用跟蹤的節點或已經公開RPC的節點。"
RPC是什麼
遠程過程調用(RPC), 是用於從第三方計算機伺服器上運行的程序請求數據和信息的協議。
它在區塊鏈上用於請求有關鏈上活動的信息,例如帳戶餘額,區塊編號和其他數據。可以由用戶私下使用,也可以讓更廣泛的公眾訪問。
Infura是當今以太坊最受歡迎的應用程式之一,它利用公共RPC埠來生成有關區塊鏈網絡的數據,提供給那些沒有自己運行以太坊客戶端的用戶。
根據Bigelow的說法,對於Amberdata團隊發現的漏洞,運行Parity軟體的以太坊節點必須啟用公共RPC埠並激活一個特殊模塊才能跟蹤事務歷史記錄。
"真的是這個維恩圖,"比奇洛說, "您得找到運行了Parity節點的人,公開了Parity [RPC]埠的人,還在其系統上啟用了跟蹤模塊人。如果你同時中了這三點,那伺服器基本已經關了。"
在2月份,Parity很容易受到類似的攻擊。該漏洞影響了軟體的整個用戶群,而不僅僅是特定的人群。
攻擊可能性低
當然,Parity上的這個跟蹤模塊是一個非常詳細和面向開發人員的模塊,Bigelow懷疑只有一小部分Parity用戶實際啟用了。
更重要的是,雖然在其他ethereum客戶端(例如Geth)上也存在RPC調用,但由於在以太坊軟體客戶端上RPC實現的不同,因此在其他軟體上利用相同類型的漏洞的可能性極小。
"以太坊客戶端的RPC接口沒有標準化,每個客戶端都有其特定功能的額外調用,"Parity Technologies發言人表示,"所以他們不太可能因類似的調用而遇到類似的bug。"
但無論攻擊的可能性如何,Parity Technologies都鼓勵所有用戶立即升級,並在他們的博客文章中說:
"默認情況下,Parity Ethereum不啟用跟蹤或面向公眾的RPC,因此大多數節點不應受到影響。但我們依然建議每個運行Parity Ethereum節點的人都更新到這個最新版本。"