安全研究实验室SRLabs报告：ETH上的大量奇偶校验和Geth节点更新不足

 
目前，安全性是区块链技术最重要的特征之一。所有许多前景和用途加上这项技术不太柔韧的事实是其使用增加的驱动因素。
但是，与其他任何事情一样，黑客几乎总能找到一种方法来规避措施或破坏某些安全漏洞。为了解决这个问题，我们会不断进行安全检查，预测威胁并发布解决方案以防止漏洞。
平价
尽管已知存在威胁的可能性，但安全研究实验室(SRLabs)最近的一份报告显示，即使发布安全更新，仍然没有修补在Parity上运行的多达三分之一的以太坊节点。
具体而言，SRLabs已经注意到问题是严重的拒绝服务(DoS)错误，该错误影响了以太坊奇偶校验客户端导致严重缺陷。这个漏洞非常严重，可以被黑客操纵，如果他们能够远程控制51%，他们很容易压倒网络并造成许多致命错误。
在2月份的某个时候，Parity发布了一个官方更新，并要求每个人都运行他们的软件，下载并安装新的更新。但是，该报告指出“到目前为止只有三分之二的节点已被修补。”
该报告还显示出更令人惊讶的疏忽，称Parity上至少有30%的节点仍然没有使用3月2日发布的另一个补丁。此外，至少有7%的Parity节点目前运行在该软件的一个版本上，对于自2018年7月以来被注意到并修补的缺陷而言，它是无法防范的。
在3月的某个时候，BitMEX也发现其Ethereum Parity完整节点有一个错误，尽管他们注意到通过该错误严重破坏的可能性相当低。
该报告还显示了对Geth的疏忽。它说：
“根据他们公布的标题，在ethernodes.org上可见的大约44%的Geth节点低于版本v.1.8.20，这是一个安全关键的更新，在我们测量之前两个月发布。”
该报告指出，这些数字太大，可能被利用，最终会破坏整个网络，因为“打破以太坊网络的骨干只需要崩溃一些节点。”
根据该报告，Parity的更新程序存在一定的不可靠性。即使它自动运行，它也是一个非常复杂的过程，几乎完全依赖于区块链上的智能合约。
在这里，必须始终更新合同中的数据，并且合同指向的所有数据必须始终可用于所有节点。所涉及的配置细节使得该过程非常容易出错，并且最终可能是大量节点未被更新的原因。
另一方面，Geth不使用自动系统，这也可能是正确更新节点数量如此之低的直接原因。
SRLabs指出，解决此问题的最佳方法是优化更新过程。这应该确定可能影响及时和正确安装更新的节点所面临的缺点和挑战。