Amberdata scopre un bug nella "chiamata RPC" nel client Parity Ethereum

Martedì è stata scoperta una vulnerabilità nel codice del secondo client Ethereum più popolare, che avrebbe potuto forzare lo spegnimento dei computer.

La parità si connette tramite3.000 server informatici in tutto il mondo alla rete blockchain Ethereum .

Giovedì, Parity Technologies, la startup responsabile della creazione e della manutenzione del client Ethereum , ha rilasciato il codice aggiornato per correggere il bug.

Solo un piccolo sottoinsieme di server Parity era vulnerabile al crash, secondo Scott Bigelow, VP of engineering presso la startup di analisi blockchain Amberdata. Amberdata ha scoperto per prima la vulnerabilità e l'ha comunicata al team Parity Technologies.

"C'era una vulnerabilità che [se sfruttata] avrebbe causato un crash immediato del client Parity per tutti i suoi servizi", ha detto Bigelow. "Non c'è possibilità di rubare fondi o fare altre cose dannose, ma potresti chiudere una parte dei nodi Ethereum ".

In unpost del blogpubblicato giovedì, Parity Technologies ha scritto:

"Aggiorna i tuoi nodi alla versione più recente il prima possibile, soprattutto se stai utilizzando un nodo che ha abilitato il tracciamento o un nodo che ha abilitato RPC pubblico."

Cos'è RPC?

Una chiamata di procedura remota, o RPC, è un protocollo per richiedere dati e informazioni da un programma in esecuzione su un server di computer di terze parti. Viene utilizzata sulle blockchain per Request informazioni sulle attività on-chain come saldi dei conti, numeri di blocco e altri dati.

Può essere utilizzato privatamente dall'utente oppure reso accessibile al pubblico più vasto.Infuria, ONE delle applicazioni più popolari su Ethereum al momento, sfrutta le porte RPC pubbliche per rendere i dati sulla rete blockchain accessibili agli utenti che T gestiscono direttamente i client Ethereum .

Secondo Bigelow, affinché la vulnerabilità individuata dal team di Amberdata possa essere sfruttata, il nodo Ethereum che esegue il software Parity deve aver abilitato una porta RPC pubblica e attivato un modulo speciale per consentire il tracciamento della cronologia delle transazioni.

"È davvero questo diagramma di Venn", ha detto Bigelow. "Devi trovare persone che gestiscono nodi Parity, che hanno una porta Parity [RPC] esposta e che hanno anche il modulo di tracciamento abilitato sul loro sistema. Se hai queste tre cose, puoi dire che il server è andato".

La parità era suscettibile a un vettore di attacco similea febbraioTale vulnerabilità ha avuto un impatto sull'intera base di utenti del software, non solo su un sottoinsieme specifico.

Bassa probabilità di attacco

Allo stesso tempo, questo modulo di tracciamento su Parity è un modulo altamente dettagliato e orientato agli sviluppatori che Bigelow sospetta che solo una piccola parte degli utenti Parity abbia effettivamente abilitato.

Inoltre, mentre le chiamate RPC esistono su altri client Ethereum , come Getto, è altamente improbabile che lo stesso tipo di vulnerabilità venga sfruttato su altri software, a causa delle differenze nelle implementazioni RPC tra i client software Ethereum .

"Le interfacce RPC dei client Ethereum non sono standardizzate e ogni client ha chiamate aggiuntive per le proprie funzionalità specifiche", ha affermato un portavoce di Parity Technologies. "Quindi è improbabile che abbiano un bug simile per la loro chiamata analoga".

Qualunque sia la probabilità di un attacco, Parity Technologies incoraggia tutti i suoi utenti ad effettuare immediatamente l'aggiornamento, affermando nel suo post sul blog:

"Di default, Parity Ethereum non abilita il tracciamento o l'RPC pubblico, quindi la maggior parte dei nodi non dovrebbe essere interessata. In ogni caso, consigliamo a tutti coloro che eseguono nodi Parity Ethereum di aggiornare a questa ultima versione."

Immagine del fondatore di Parity Technologies, Gavin Wood, tramite gli archivi CoinDesk