Amberdata обнаружила ошибку «RPC Call» в клиенте Parity Ethereum

Во вторник во втором по популярности клиенте Ethereum была обнаружена уязвимость кода, которая могла привести к принудительному выключению компьютера.

Паритет подключается через3000 компьютерных серверов по всему миру к сети блокчейна Ethereum .

В четверг стартап Parity Technologies, отвечающий за создание и поддержку клиента Ethereum , выпустил обновленный код для исправления ошибки.

По словам Скотта Бигелоу, вице-президента по инжинирингу в стартапе по аналитике блокчейнов Amberdata, только небольшая часть серверов Parity была уязвима к сбоям. Amberdata первой обнаружила уязвимость и сообщила о ней команде Parity Technologies.

«Была уязвимость, которая [если бы ее эксплуатировали] привела бы к немедленному сбою клиента Parity для всех его сервисов», — сказал Бигелоу. «Нет возможности украсть средства или сделать другие вредоносные вещи, но вы могли бы отключить некоторую часть узлов Ethereum ».

Взапись в блогеопубликовано в четверг, Parity Technologies написала:

«Пожалуйста, обновите свои узлы до последней версии как можно скорее, особенно если вы используете узел, на котором включена трассировка, или узел, на котором включен общедоступный RPC».

Что такое RPC?

Удаленный вызов процедуры, или RPC, — это протокол для запроса данных и информации из программы, запущенной на стороннем сервере компьютера. Он используется в блокчейнах для Request информации о действиях в цепочке, таких как остатки на счетах, номера блоков и другие данные.

Пользователь может использовать его в личных целях или открыть для доступа широкой публике.Инфура, ONE из самых популярных приложений на Ethereum сегодня, использует публичные порты RPC, чтобы сделать данные о сети блокчейн доступными для пользователей, которые сами T используют клиенты Ethereum .

По словам Бигелоу, для эксплуатации уязвимости, обнаруженной командой Amberdata, узел Ethereum , на котором запущено программное обеспечение Parity, должен был включить публичный порт RPC и активировать специальный модуль, позволяющий отслеживать историю транзакций.

«Это действительно диаграмма Венна», — сказал Бигелоу. «Вам нужно найти людей, которые используют узлы Parity, у которых открыт порт Parity [RPC] и у которых в системе включен модуль трассировки. Если у вас есть эти три вещи, вы можете сказать, что сервер исчез».

Паритет был подвержен аналогичному вектору атакив феврале. Эта уязвимость затронула всю пользовательскую базу программного обеспечения, а не только определенную ее часть.

Низкая вероятность нападения

В то же время этот модуль трассировки в Parity представляет собой очень подробный и ориентированный на разработчиков модуль, который, как подозревает Бигелоу, фактически включила лишь небольшая часть пользователей Parity.

Более того, хотя вызовы RPC существуют и в других клиентах Ethereum , таких как Гет, крайне маловероятно, что подобная уязвимость будет эксплуатироваться в другом программном обеспечении, поскольку реализации RPC различаются в разных программных клиентах Ethereum .

«Интерфейсы RPC клиентов Ethereum не стандартизированы, и у каждого клиента есть дополнительные вызовы для своих конкретных функций», — сказал представитель Parity Technologies. «Поэтому маловероятно, что у них есть аналогичный баг для их аналогичного вызова».

Независимо от вероятности атаки, Parity Technologies призывает всех своих пользователей немедленно обновиться, заявив в своем сообщении в блоге:

«По умолчанию Parity Ethereum не включает трассировку или публичный RPC, поэтому большинство узлов не должны быть затронуты. Несмотря на это, мы рекомендуем всем, кто использует узлы Parity Ethereum , обновиться до этой последней версии».

Изображение основателя Parity Technologies Гэвина Вуда из архивов CoinDesk