Ethereum призывает разработчиков Go исправить серьезную уязвимость, связанную с расщеплением цепочки

29
Китайская провинция Хэбэй ограничит добычу и торговлю криптовалютой

Проект Ethreum призывает разработчиков применить исправление, чтобы устранить серьезную уязвимость.

Уязвимость с разделением цепочки, отслеживаемая как CVE-2021-39137, затрагивает Geth, официальную реализацию протокола Ethereum на Golang.

Такие недостатки могут вызвать коррупцию в сервисах блокчейна и привести к массовым сбоям, таким как отключение сети Ethereum в прошлом году.

Детали вектора атаки пока не разглашаются

На этой неделе специалисты по сопровождению проекта Ethereum призывают разработчиков Go, использующих go-ethereum или Geth, перейти на версию 1.10.8, в которой исправлена ​​уязвимость высокой степени опасности.

Уязвимость в проекте с открытым исходным кодом Geth может вызвать «расщепление цепочки», то есть уязвимые экземпляры Geth откажутся принимать канонические цепочки.

Эксперт по программной безопасности и крипто-фаззингу Гвидо Вранкен из фирмы Sentnl, занимающейся безопасностью блокчейнов, обнаружил уязвимость во время работы по обеспечению безопасности.

Пока у большинства разработчиков не будет возможности перейти на исправленную версию, подробности о том, как можно использовать уязвимость, не раскрываются из соображений осторожности:

«Точный вектор атаки будет предоставлен позже, чтобы дать операторам узлов и зависимым нижестоящим проектам время обновить свои узлы и программное обеспечение», – сказал Петер Силаджи, руководитель группы Ethereum.

«Все версии Geth, поддерживающие хард-форк в Лондоне, уязвимы (ошибка старше, чем в Лондоне), поэтому все пользователи должны обновиться», – продолжил Силагьи.

Уязвимости блокчейна с «разделением цепочки» опасны, поскольку их использование может вызвать сбои, влияющие на вывод криптовалюты и общую целостность блокчейна.

Это произошло в прошлом году, когда сервисы, полагающиеся на сеть Ethereum, пострадали от сбоев и ошибок вывода , опять же из-за уязвимого клиента go-ethereum .

Разделение цепочки происходит, когда разные клиенты Ethereum не соглашаются с тем, что является действительной транзакцией, а что нет.

Это означает, что в зависимости от того, какой клиент использует ваша платформа, исходный (канонический) блокчейн может оказаться «разветвленным».

В Ethereum один « канонический компьютер », также называемый виртуальной машиной Ethereum (EVM), поддерживает общее состояние или набор записей, с которыми согласен каждый узел, присутствующий в сети Ethereum.

Каждый сервис Ethereum хранит копию того, что находится в EVM.

«Вероятность того, что кто-то случайно сработает за это время, мала, – объясняет инженер-программист R3 Димос Раптис, который участвует в разработке блокчейна Corda и проанализировал сбой Ethereum в прошлом году.

Инженер, однако, не недооценивает возможность использования злоумышленниками уязвимостей, связанных с разделением цепочки.

«В отличие от этого, вероятность того, что кто-то злонамеренно запустит его, если он будет отмечен как проблема безопасности, не является незначительной», – предупреждает эксперт в своем отчете.

В ходе аудита блокчейн-платформы Telos обнаружен недостаток

Интересно, что недостаток был обнаружен во время аудита платформы Telos EVM после того, как Telos привлек Sentnl в качестве своего аудитора.

Telos – это блокчейн-платформа нового поколения, которая помогает «создавать быстрые масштабируемые распределенные приложения с бесплатными транзакциями».

«Чтобы найти уязвимости в Telos EVM, я провел глубокий и тщательный фаззинг и убедился, что его поведение в точности соответствует поведению go-ethereum» , – сказал Вранкен.

«Несмотря на то, что go-ethereum имел выдающуюся репутацию, когда дело доходит до безопасности, процедура была настолько эффективной, что не только способствовала утверждению правильности EVM Telos, но и обнаружила серьезную проблему в go-ethereum », – заявил эксперт по крипто-фаззингу в пресс-релизе.

Блокчейн-сервисы и разработчики, использующие go-ethereum, должны перейти на версию 1.10.8 или выше. В настоящее время обходных путей нет.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here