Rischio sicurezza per Ethereum: il 30% dei nodi non è aggiornato
Ethereum

Rischio sicurezza per Ethereum: il 30% dei nodi non è aggiornato

By Michele Porta - 17 Mag 2019

Chevron down

Secondo una nuova ricerca della Security Research Labs, tutti i client Ethereum che non hanno ancora applicato l’ultima patch relativa alle vulnerabilità note rappresentano un importante rischio per la sicurezza dell’intero network.

Read this article in the English version here.

Il rapporto si basa direttamente sui dati provenienti da ethernodes.org. Viene mostrato come un gran numero di nodi che utilizzano i client Parity e Geth, ovvero i più popolari in circolazione, sono tuttora vulnerabili ad eventuali attacchi malevoli.

Il motivo principale è dovuto alla mancanza di aggiornamento da parte dei client nonostante sia stata rilasciata l’ultima patch da almeno due settimane.

La situazione dei client Parity

SRLabs ricorda di aver già segnalato una vulnerabilità nel client Ethereum Parity in febbraio che permetteva l’apertura di nodi e l’arresto in remoto.

Nel rapporto si può leggere:

“Secondo i dati raccolti, solo due terzi dei nodi sono stati patchati fino ad ora. Poco dopo aver segnalato questa vulnerabilità, Parity ha rilasciato un avviso di sicurezza, esortando i partecipanti ad aggiornare i loro nodi. “

Una seconda patch è stata rilasciata il 2 marzo ma non è stata ancora installata da almeno il 30% dei nodi Parity.

Addirittura il 7% dei nodi avrebbe ancora una versione precedente al luglio scorso., data in cui fu rilasciata un’importante patch per fixare una vulnerabilità nel sistema di consenso.

Secondo il rapporto, i client Parity dovrebbero aggiornarsi automaticamente ad ogni nuova release ma non è sempre così e alcuni update vanno persi o sottovalutati.

I client Geth non si salvano affatto

Lo scenario per i client Geth di Ethereum purtroppo sembra ancora peggiore.

Grafico percentuale patch installate su client Parity e Geth Ethereum

Circa il 44% dei nodi Geth visibili su ethernodes.org hanno una versione software inferiore alla v.1.8.20, ovvero la versione in cui era stato rilasciato un aggiornamento critico per la sicurezza.

Inoltre Geth, secondo il team di Security Research Labs, non ha alcuna funzionalità di update automatico.

Un rischio per l’intera rete Ethereum

Il numero di client Ethereum esposti sarebbe quindi rilevante e questo fa sì che l’intera rete sia vulnerabile.

Nel report i ricercatori sono piuttosto chiari:

“Se un hacker riuscisse a bloccare un numero abbastanza elevato di nodi, prendere il controllo del 51% della rete diventa più semplice. Quindi, i crash del software sono un serio problema di sicurezza per i nodi blockchain (a differenza di altri casi in cui l’hacker solitamente non beneficia di un arresto anomalo).”

Michele Porta
Michele Porta

Ingegnere informatico. Da sempre appassionato di tecnologia, hardware e software. Entra nel mondo delle criptovalute negli ultimi anni imparando a fare trading e studiando gli aspetti tecnologici e implementativi delle principali crypto sul mercato. Spera in un futuro privo di contanti e basato sulla sicurezza garantita dalla blockchain.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.