以太坊Parity客戶端出現RPC安全漏洞,用戶需盡快升級
夕雨/張詠晴編譯
2019-08-30 17:49

圖片來源:Pixabay

 

週二,在頗受歡迎的以太坊Parity客戶端,發現了一個可能導致電腦關機的代碼漏洞。以太坊客戶端Parity將全球超過3000台電腦伺服器,連接到以太坊區塊鏈網路。

 

週四,Parity Technologies發布了更新後的代碼來修復這個bug。該公司是一家負責構建和維護以太坊客戶端的新創公司。

 

區塊鏈分析新創公司Amberdata的工程副總裁Scott Bigelow表示,只有一小部分Parity伺服器容易崩潰。Amberdata首先發現了這個漏洞,並向Parity Technologies團隊披露了它。

 

Bigelow說:「有一個漏洞(如果被利用)將導致Parity客戶端所有服務立即崩潰。不可能竊取資金或做其他惡意的事情,但你可以關閉部分以太坊節點。」

 

Parity公司在週四發表的一篇文章中寫道:「請盡快將您的節點更新到最新版本,特別是如果您運行的節點啓用了追蹤或啓用了面向公共的RPC的節點。」

 

RPC是什麼?

 

RPC(Remote Procedure Call)是一種協議,用於從運行在第三方電腦伺服器上的程式請求數據和資訊。它用於區塊鏈上請求關於鏈上活動的資訊,如帳戶餘額、區塊號和其他數據。

 

它可以由用戶私人使用,也可以向更廣泛的公眾開放。Infura是目前以太坊上最流行的應用之一,它利用公共RPC連接埠使不運行以太坊客戶端的用戶,可以訪問關於區塊鏈網路的數據。

 

Bigelow說,對於Amberdata團隊發現的漏洞,運行Parity軟體的以太坊節點,必須啟用一個公共RPC連接埠,並激活一個特殊模塊來啓用事務歷史追蹤。

 

Bigelow說:「這就是文氏圖。您需要找到正在運行Parity節點的人員,他們公開了Parity(RPC)連接埠,並且在他們的系統上啟用了追蹤模塊。如果你有這三樣東西,你可以說伺服器沒了。」

 

今年2月,Parity很容易受到類似攻擊載體的影響。這個漏洞影響了軟體的整個用戶群,而不僅僅是一個特定的部分。

 

低攻擊可能性

 

同時,這個基於Parity的追蹤模塊是一個非常詳細的面向開發人員的模塊,Bigelow懷疑只有一小部分Parity用戶真正啟用了這個模塊。

 

更重要的是,雖然RPC調用確實存在於其他以太坊客戶端上,比如Geth,但是由於不同的以太坊軟體客戶端之間的RPC實現有很大的不同,所以不太可能在其他軟體上利用相同類型的漏洞。

 

Parity Technologies公司的一位發言人說:「以太坊客戶端的RPC連接埠並不標準化,每個客戶端都有針對其特定功能的額外調用。所以它們不太可能有類似的bug來進行類似的調用。」

 

不管攻擊的可能性有多大,Parity Technologies鼓勵所有用戶立即升級,他們在文章中寫道:「在默認情況下,Parity以太坊客戶端不支持追蹤或面向公共的RPC,因此大多數節點應該不會受到影響。無論如何,我們建議所有運行Parity以太坊節點的用戶,更新到最新版本。」

 

本文為巴比特資訊授權刊登,原文標題為「以太坊Parity客戶端曝出RPC安全漏洞,用戶需盡快升級