Уязвимость в Parity позволяет вызвать сбой в работе узлов Ethereum

9

Для эксплуатации уязвимости на узле должен быть открыт порт RPC и активирован модуль для отслеживания истории транзакций.

Разработчики второго по популярности Ethereum-клиента Parity исправили серьезную уязвимость, способную привести к аварийному завершению работы серверов.

Parity объединяет в блокчейн Ethereum более 3 тыс. серверов по всему миру. Во вторник, 27 августа, специалисты аналитического стартапа Amberdata обнаружили в нем уязвимость, и уже в четверг компания Parity Technologies выпустила исправление.

«Пожалуйста, как можно скорее обновите свои узлы до новейшей версии, особенно если на вашем узле включена возможность отслеживания или открыт удаленный вызов процедур», – сообщается в блоге Parity Technologies.

Удаленный вызов процедур (Remote Procedure Call, RPC) представляет собой протокол, позволяющий ПО вызывать функции или процедуры на удаленных компьютерах. В блокчейне RPC используется для запроса информации об активности в цепочке блоков, такой как номера блоков, баланс счетов и пр.

Протокол может использоваться как приватно, так и открыто. Для эксплуатации обнаруженной экспертами Amberdata уязвимости на узле Ethereum с клиентом Parity должен быть открыт порт RPC и активирован специальный модуль для отслеживания истории транзакций.

«Вам надо найти людей, управляющих узлами Parity с открытыми портами RPC и включенным модулем отслеживания. Если вы все это нашли, считайте, сервера больше нет», – сообщили специалисты Amberdata.

Порт RPC в Parity по умолчанию закрыт, а модуль отслеживания транзакций отключен, поэтому большинство узлов находятся вне опасности. Тем не менее, разработчики клиента настоятельно рекомендуют обновить его до последней версии.

Подобная уязвимость также была исправлена разработчиками Parity в феврале нынешнего года.