Amberdata виявила помилку «RPC Call» у клієнті Parity Ethereum

У вівторок у другому за популярністю клієнті Ethereum було виявлено вразливість коду, яка могла призвести до примусового вимкнення комп’ютера.

Парність підключається 3000 комп'ютерних серверів по всьому світу до мережі блокчейн Ethereum .

У четвер Parity Technologies, стартап, який відповідає за створення та підтримку клієнта Ethereum , випустив оновлений код для виправлення помилки.

Лише невелика частина серверів Parity була вразливою до збоїв, за словами Скотта Бігелоу, віце-президента з розробки в аналітичному стартапі блокчейну Amberdata. Amberdata першою виявила вразливість і розповіла про неї команді Parity Technologies.

«Була вразливість, яка [якщо її використовувати] спричинила б негайний збій клієнта Parity для всіх його служб», — сказав Бігелоу. «Немає можливості вкрасти кошти або зробити інші шкідливі дії, але ви можете закрити частину вузлів Ethereum ».

В а публікація в блозі опублікований у четвер, Parity Technologies написав:

«Якнайшвидше оновіть свої вузли до найновішої версії, особливо якщо ви використовуєте вузол, який увімкнув трасування, або вузол, який увімкнув загальнодоступний RPC».

Що таке RPC?

Виклик віддаленої процедури, або RPC, — це протокол для запиту даних і інформації від програми, що працює на комп’ютерному сервері стороннього виробника. Він використовується в блокчейнах для Request інформації про дії в ланцюжку, такі як баланси на рахунку, номери блоків та інші дані.

Користувач може використовувати його приватно або відкрити для широкого загалу. Інфура, ONE з найпопулярніших додатків на Ethereum сьогодні, використовує загальнодоступні порти RPC, щоб зробити дані про мережу блокчейн доступними для користувачів, які самі T запускають клієнтів Ethereum .

За словами Бігелоу, щоб уразливість, знайдену командою Amberdata, була використана, вузол Ethereum , на якому працює програмне забезпечення Parity, повинен увімкнути публічний порт RPC і активувати спеціальний модуль для відстеження історії транзакцій.

«Це справді діаграма Венна», — сказав Бігелоу. "Вам потрібно знайти людей, які запускають вузли Parity, у яких відкритий порт Parity [RPC] і в яких також увімкнено модуль трасування в їхній системі. Якщо у вас є ці три речі, ви можете сказати, що сервер зник".

Паритет був сприйнятливий до аналогічного вектора атаки у лютому. Ця вразливість вплинула на всю базу користувачів програмного забезпечення, а не лише на певну частину.

Низька ймовірність нападу

У той же час цей модуль трасування на Parity є дуже деталізованим і орієнтованим на розробника модулем, який, на думку Бігелоу, дійсно ввімкнули лише невелика частка користувачів Parity.

Більше того, виклики RPC існують на інших клієнтах Ethereum , наприклад Гет, дуже малоймовірно, що такий самий вид уразливості буде використано в іншому програмному забезпеченні – через те, як реалізації RPC відрізняються в різних клієнтах програмного забезпечення Ethereum .

«Інтерфейси RPC клієнтів Ethereum не стандартизовані, і кожен клієнт має додаткові виклики для своїх конкретних функцій», — сказав представник Parity Technologies. «Тож малоймовірно, що вони мають подібну помилку для свого аналогічного дзвінка».

Якою б не була ймовірність атаки, Parity Technologies заохочує всіх своїх користувачів негайно оновити програму, зазначивши у своєму блозі:

«За замовчуванням Parity Ethereum не вмикає трасування або загальнодоступний RPC, тому це не повинно вплинути на більшість вузлів. Незважаючи на це, ми рекомендуємо всім, хто використовує вузли Parity Ethereum , оновити цю останню версію».

Зображення засновника Parity Technologies Гевіна Вуда через архіви CoinDesk