Для эксплуатации уязвимости на узле должен быть открыт порт RPC и активирован модуль для отслеживания истории транзакций.
Разработчики второго по популярности Ethereum-клиента Parity исправили серьезную уязвимость, способную привести к аварийному завершению работы серверов.
Parity объединяет в блокчейн Ethereum более 3 тыс. серверов по всему миру. Во вторник, 27 августа, специалисты аналитического стартапа Amberdata обнаружили в нем уязвимость, и уже в четверг компания Parity Technologies выпустила исправление.
«Пожалуйста, как можно скорее обновите свои узлы до новейшей версии, особенно если на вашем узле включена возможность отслеживания или открыт удаленный вызов процедур», – сообщается в блоге Parity Technologies.
Удаленный вызов процедур (Remote Procedure Call, RPC) представляет собой протокол, позволяющий ПО вызывать функции или процедуры на удаленных компьютерах. В блокчейне RPC используется для запроса информации об активности в цепочке блоков, такой как номера блоков, баланс счетов и пр.
Протокол может использоваться как приватно, так и открыто. Для эксплуатации обнаруженной экспертами Amberdata уязвимости на узле Ethereum с клиентом Parity должен быть открыт порт RPC и активирован специальный модуль для отслеживания истории транзакций.
«Вам надо найти людей, управляющих узлами Parity с открытыми портами RPC и включенным модулем отслеживания. Если вы все это нашли, считайте, сервера больше нет», – сообщили специалисты Amberdata.
Порт RPC в Parity по умолчанию закрыт, а модуль отслеживания транзакций отключен, поэтому большинство узлов находятся вне опасности. Тем не менее, разработчики клиента настоятельно рекомендуют обновить его до последней версии.
Подобная уязвимость также была исправлена разработчиками Parity в феврале нынешнего года.
