本周二，第二受歡迎的以太坊應(yīng)用內(nèi)發(fā)現(xiàn)了可能導(dǎo)致計算機(jī)關(guān)閉的代碼漏洞。Parity將全球3,000多臺計算機(jī)服務(wù)器連接到以太坊區(qū)塊鏈網(wǎng)絡(luò)。周四

本周二，第二受歡迎的以太坊應(yīng)用內(nèi)發(fā)現(xiàn)了可能導(dǎo)致計算機(jī)關(guān)閉的代碼漏洞。

Parity將全球3,000多臺計算機(jī)服務(wù)器連接到以太坊區(qū)塊鏈網(wǎng)絡(luò)。

周四，負(fù)責(zé)構(gòu)建和維護(hù)以太坊客戶端的初創(chuàng)公司Parity Technologies發(fā)布了更新代碼以修復(fù)該漏洞。

區(qū)塊鏈數(shù)據(jù)分析初創(chuàng)公司Amberdata的工程副總裁Scott Bigelow表示，容易崩潰只有一小部分Parity服務(wù)器。同時也是Amberdata首先發(fā)現(xiàn)了這個漏洞并將其透露給了Parity Technologies團(tuán)隊。

“有一個漏洞，[如果被利用]會導(dǎo)致Parity客戶端所有服務(wù)立即崩潰，”Bigelow說，“不太可能被竊取資金或做其他壞事，但可能關(guān)閉部分以太坊節(jié)點(diǎn)。”

在周四發(fā)布的博客中，Parity Technologies寫道：

“請盡快將您的節(jié)點(diǎn)更新到最新版本，特別是如果您正在運(yùn)行已啟用跟蹤的節(jié)點(diǎn)或已經(jīng)公開RPC的節(jié)點(diǎn)。”

RPC是什么

遠(yuǎn)程過程調(diào)用(RPC), 是用于從第三方計算機(jī)服務(wù)器上運(yùn)行的程序請求數(shù)據(jù)和信息的協(xié)議。

它在區(qū)塊鏈上用于請求有關(guān)鏈上活動的信息，例如賬戶余額，區(qū)塊編號和其他數(shù)據(jù)?？梢杂捎脩羲较率褂?，也可以讓更廣泛的公眾訪問。

Infura是當(dāng)今以太坊最受歡迎的應(yīng)用程序之一，它利用公共RPC端口來生成有關(guān)區(qū)塊鏈網(wǎng)絡(luò)的數(shù)據(jù)，提供給那些沒有自己運(yùn)行以太坊客戶端的用戶。

根據(jù)Bigelow的說法，對于Amberdata團(tuán)隊發(fā)現(xiàn)的漏洞，運(yùn)行Parity軟件的以太坊節(jié)點(diǎn)必須啟用公共RPC端口并激活一個特殊模塊才能跟蹤事務(wù)歷史記錄。

“真的是這個維恩圖，”比奇洛說， “您得找到運(yùn)行了Parity節(jié)點(diǎn)的人，公開了Parity [RPC]端口的人，還在其系統(tǒng)上啟用了跟蹤模塊人。如果你同時中了這三點(diǎn)，那服務(wù)器基本已經(jīng)關(guān)了。”

在2月份，Parity很容易受到類似的攻擊。該漏洞影響了軟件的整個用戶群，而不僅僅是特定的人群。

攻擊可能性低

當(dāng)然，Parity上的這個跟蹤模塊是一個非常詳細(xì)和面向開發(fā)人員的模塊，Bigelow懷疑只有一小部分Parity用戶實際啟用了。

更重要的是，雖然在其他ethereum客戶端(例如Geth)上也存在RPC調(diào)用，但由于在以太坊軟件客戶端上RPC實現(xiàn)的不同，因此在其他軟件上利用相同類型的漏洞的可能性極小。

“以太坊客戶端的RPC接口沒有標(biāo)準(zhǔn)化，每個客戶端都有其特定功能的額外調(diào)用，”Parity Technologies發(fā)言人表示，“所以他們不太可能因類似的調(diào)用而遇到類似的bug。”

但無論攻擊的可能性如何，Parity Technologies都鼓勵所有用戶立即升級，并在他們的博客文章中說：

“默認(rèn)情況下，Parity Ethereum不啟用跟蹤或面向公眾的RPC，因此大多數(shù)節(jié)點(diǎn)不應(yīng)受到影響。但我們依然建議每個運(yùn)行Parity Ethereum節(jié)點(diǎn)的人都更新到這個最新版本。“（作者： Christine Kim）

關(guān)鍵詞： 以太坊 代碼漏洞 Parity