Theo các nghiên cứu mới, các máy khách Ethereum chưa vá các lỗ hổng bảo mật đã biết, có nguy cơ gây ảnh hưởng cho toàn bộ mạng.
Một báo cáo từ Phòng Nghiên cứu Bảo mật (Security Research Labs – SRL) đã sử dụng dữ liệu của ethernodes.org, chỉ ra rằng một số lượng lớn các node sử dụng các ứng dụng máy khách phổ biến nhất Parity và Geth đã bị phơi nhiễm “trong khoảng thời gian kéo dài” sau khi các bản vá lỗi bảo mật được phát hành.
SRLabs cho biết họ đã báo cáo một lỗ hổng trong ứng dụng Parity vào tháng 2 có thể mở các node bị treo từ xa.
Báo cáo nêu rõ:
“Theo dữ liệu thu thập được của chúng tôi, chỉ có hai phần ba các node đã được vá cho đến nay. Ngay sau khi chúng tôi báo cáo lỗ hổng này, Parity đã đưa ra cảnh báo bảo mật, kêu gọi người tham gia cập nhật các nút của họ.”
Một bản vá khác, được phát hành vào ngày 2 tháng 3, cũng không được cập nhật bởi 30% các node của Parity, trong khi 7% các node Parity vẫn có một phiên bản dễ bị tấn công do lỗ hổng đồng thuận quan trọng được vá vào tháng 7 năm ngoái.
Mặc dù ứng dụng máy khách Parity có quy trình cập nhật tự động, nhưng nó lại “có sự phức tạp cao” và không phải tất cả các bản cập nhật đều được thêm vào, báo cáo cho biết.
Các kịch bản vá lỗi cho Geth thậm chí còn tồi tệ hơn, theo nghiên cứu chỉ ra.
“Theo báo cáo được công bố của họ, khoảng 44% các node Geth có thể thấy được tại ethernodes.org đều dưới phiên bản v.1.8.20, một bản cập nhật quan trọng về bảo mật, được phát hành hai tháng trước khi đợt tính toán ước lượng của chúng tôi.” theo lời của nhóm nghiên cứu SRL, lưu ý rằng Geth không có tính năng tự động cập nhật, có vẻ là do thiết kế vốn có của nó.
SR Labs tiếp tục nói rằng bằng cách để một số lượng lớn máy khách có khả năng bị tấn công, toàn bộ mạng ethereum, vốn dựa trên việc có các node sẵn có, cũng sẽ dễ bị ảnh hưởng.
Họ cảnh báo:
“Nếu một tin tặc có thể đánh sập một số lượng lớn các node, việc kiểm soát 51% mạng trở nên dễ dàng hơn. Do đó, sự cố phần mềm là mối quan tâm bảo mật nghiêm trọng đối với các node blockchain (không giống như trong các phần mềm khác mà tin tặc thường không được hưởng lợi từ sự cố).”
Để giải quyết vấn đề này, nhóm nghiên cứu đề xuất rằng cần có các quy trình “tin cậy hơn” giúp cho các máy khách cập nhật tự động. Việc phi tập trung hóa mạng ethereum hơn nữa bằng cách di chuyển hash power ra khỏi phần đông các thợ đào cũng sẽ giúp ích, mặc dù điều đó dường như không thể xảy ra và nhận thức bảo mật rộng sẽ là chìa khóa cho sự thành công.
