Amberdata descobre bug de 'chamada RPC' no cliente Parity Ethereum

Uma vulnerabilidade de código que poderia ter forçado o desligamento do computador foi encontrada na terça-feira no segundo cliente Ethereum mais popular.

A paridade conecta3.000 servidores de computador ao redor do mundo para a rede blockchain Ethereum .

Na quinta-feira, a Parity Technologies, a startup responsável por criar e manter o cliente Ethereum , lançou um código atualizado para corrigir o bug.

Apenas um pequeno subconjunto de servidores Parity era vulnerável a falhas, de acordo com Scott Bigelow, vice-presidente de engenharia da startup de análise de blockchain Amberdata. A Amberdata descobriu a vulnerabilidade primeiro e a divulgou para a equipe da Parity Technologies.

“Havia uma vulnerabilidade que [se explorada] causaria uma queda imediata do cliente Parity para todos os seus serviços”, disse Bigelow. “Não há possibilidade de roubar fundos ou fazer outras coisas maliciosas, mas você pode desligar alguma parte dos nós do Ethereum .”

Em umpostagem de blogpublicado quinta-feira, a Parity Technologies escreveu:

“Atualize seus nós para a versão mais recente o mais rápido possível, especialmente se você estiver executando um nó que tenha habilitado o rastreamento ou um nó que tenha habilitado o RPC voltado para o público.”

O que é RPC?

Uma chamada de procedimento remoto, ou RPC, é um protocolo para solicitar dados e informações de um programa em execução em um servidor de computador de terceiros. É usado em blockchains para Request informações sobre atividades on-chain, como saldos de contas, números de blocos e outros dados.

Ele pode ser usado privadamente por um usuário ou aberto para acesso do público em geral.Infura, um dos aplicativos mais populares no Ethereum atualmente, utiliza portas RPC públicas para tornar dados sobre a rede blockchain acessíveis a usuários que T executam clientes Ethereum .

Para que a vulnerabilidade encontrada pela equipe da Amberdata seja explorada, o nó Ethereum que executa o software Parity deve ter habilitado uma porta RPC pública e ativado um módulo especial para permitir o rastreamento do histórico de transações, de acordo com Bigelow.

“É realmente esse diagrama de Venn”, disse Bigelow. “Você precisa encontrar pessoas que estejam executando nós Parity, que tenham uma porta Parity [RPC] exposta e que também tenham o módulo de rastreamento habilitado em seu sistema. Se você tiver essas três coisas, pode dizer que o servidor se foi.”

A paridade era suscetível a um vetor de ataque semelhanteem fevereiro. Essa vulnerabilidade impactou toda a base de usuários do software, não apenas um subconjunto específico.

Baixa probabilidade de ataque

Ao mesmo tempo, este módulo de rastreamento no Parity é um módulo altamente detalhado e voltado para o desenvolvedor que Bigelow suspeita que apenas uma pequena fração dos usuários do Parity realmente habilitou.

Além disso, embora as chamadas RPC existam em outros clientes Ethereum , como Geth, é altamente improvável que o mesmo tipo de vulnerabilidade seja explorado em outro software – devido à forma como as implementações de RPC diferem entre os clientes de software Ethereum .

“As interfaces RPC dos clientes Ethereum não são padronizadas e cada cliente tem chamadas adicionais para seus recursos específicos”, disse um porta-voz da Parity Technologies. “Então é improvável que eles tenham um bug semelhante para sua chamada análoga.”

Seja qual for a probabilidade de ataque, a Parity Technologies incentiva todos os seus usuários a atualizarem imediatamente, dizendo em sua postagem no blog:

"Por padrão, o Parity Ethereum não habilita o rastreamento ou RPC público, então a maioria dos nós não deve ser afetada. De qualquer forma, recomendamos que todos que executam nós do Parity Ethereum atualizem para esta versão mais recente."

Imagem do fundador da Parity Technologies, Gavin Wood, via arquivos do CoinDesk