Partager cet article
BTC
$108,619.91
+
0.28%ETH
$2,533.18
-
0.07%USDT
$0.9991
-
0.08%XRP
$2.3372
+
0.14%BNB
$670.34
+
1.28%SOL
$176.50
-
0.39%USDC
$0.9988
-
0.09%DOGE
$0.2258
-
2.14%ADA
$0.7474
-
2.01%TRX
$0.2702
-
0.02%SUI
$3.5979
-
1.49%HYPE
$35.55
+
5.45%LINK
$15.33
-
3.00%AVAX
$22.86
-
3.43%XLM
$0.2857
-
1.41%SHIB
$0.0₄1436
-
1.38%BCH
$423.74
-
2.56%LEO
$8.7995
+
0.18%HBAR
$0.1893
-
2.57%TON
$3.0179
-
0.25%Amberdata découvre un bug « RPC Call » dans le client Ethereum Parity
Une nouvelle version de code du client Ethereum Parity a été publiée jeudi pour corriger une vulnérabilité de sécurité découverte par la startup blockchain Amberdata.
Par Christine Kim
Une vulnérabilité de code qui aurait pu forcer l'arrêt des ordinateurs a été découverte mardi dans le deuxième client Ethereum le plus populaire.
La parité se connecte sur3 000 serveurs informatiques dans le monde entier vers le réseau blockchain Ethereum .
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Daybook Americas aujourd. Voir Toutes les NewslettersEn vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.
Jeudi, Parity Technologies, la startup responsable de la création et de la maintenance du client Ethereum , a publié un code mis à jour pour corriger le bogue.
Selon Scott Bigelow, vice-président de l'ingénierie chez Amberdata, start-up spécialisée dans l'analyse blockchain, seul un petit sous-ensemble de serveurs Parity était vulnérable aux pannes. Amberdata a été la première à découvrir la vulnérabilité et à la signaler à l'équipe de Parity Technologies.
« Il y avait une vulnérabilité qui, si elle était exploitée, provoquerait un plantage immédiat du client Parity pour tous ses services », a déclaré Bigelow. « Il est impossible de voler des fonds ou d'effectuer d'autres actions malveillantes, mais on pourrait paralyser une partie des nœuds Ethereum . »
Dans unarticle de blogpublié jeudi, Parity Technologies a écrit :
« Veuillez mettre à jour vos nœuds vers la version la plus récente dès que possible, en particulier si vous exécutez un nœud qui a activé le traçage ou un nœud qui a activé le RPC public. »
Qu'est-ce que RPC ?
Un appel de procédure distante (RPC) est un protocole permettant de demander des données et des informations à un programme exécuté sur un serveur tiers. Il est utilisé sur les blockchains pour Request des informations sur les activités en chaîne, telles que les soldes de comptes, les numéros de blocs et d'autres données.
Il peut être utilisé en privé par un utilisateur ou ouvert à un public plus large.Infura, ONEune des applications les plus populaires sur Ethereum aujourd'hui, exploite les ports RPC publics pour rendre les données sur le réseau blockchain accessibles aux utilisateurs qui n'exécutent T eux-mêmes de clients Ethereum .
Pour que la vulnérabilité découverte par l'équipe d'Amberdata soit exploitée, le nœud Ethereum exécutant le logiciel Parity doit avoir activé un port RPC public et activé un module spécial pour permettre le traçage de l'historique des transactions, selon Bigelow.
« C'est vraiment un diagramme de Venn », explique Bigelow. « Il faut trouver des utilisateurs qui utilisent des nœuds Parity, dont un port Parity [RPC] est exposé et dont le module de traçage est activé sur leur système. Si ces trois éléments sont réunis, on peut dire que le serveur est hors service. »
La parité était susceptible d'être soumise à un vecteur d'attaque similaireen févrierCette vulnérabilité a eu un impact sur l’ensemble de la base d’utilisateurs du logiciel, et pas seulement sur un sous-ensemble spécifique.
Faible probabilité d'attaque
Dans le même temps, ce module de traçage sur Parity est un module très détaillé et orienté développeur que Bigelow soupçonne que seule une petite fraction des utilisateurs de Parity a réellement activé.
De plus, bien que les appels RPC existent sur d'autres clients Ethereum , tels que Geth, il est très peu probable que le même type de vulnérabilité soit exploité sur d’autres logiciels – en raison de la différence entre les implémentations RPC selon les clients logiciels Ethereum .
« Les interfaces RPC des clients Ethereum ne sont pas standardisées et chaque client dispose d'appels supplémentaires pour ses fonctionnalités spécifiques », a déclaré un porte-parole de Parity Technologies. « Il est donc peu probable qu'ils aient un bug similaire pour leur appel analogue. »
Quelle que soit la probabilité d'une attaque, Parity Technologies encourage tous ses utilisateurs à effectuer une mise à niveau immédiatement, en déclarant dans son article de blog :
Par défaut, Parity Ethereum n'active pas le traçage ni le RPC public. La majorité des nœuds ne devraient donc pas être affectés. Quoi qu'il en soit, nous recommandons à tous les utilisateurs de nœuds Parity Ethereum de mettre à jour leur infrastructure vers cette dernière version.
Image du fondateur de Parity Technologies, Gavin Wood, via les archives CoinDesk
Christine Kim
Christine is a research analyst for CoinDesk. She focusses on producing data-driven insights about the cryptocurrency and blockchain industry. Prior to her role as a research analyst, Christine was a tech reporter for CoinDesk mainly covering developments on the ethereum blockchain.
Cryptocurrency holdings: None.
À la une
