以太坊又被爆重大漏洞，七成节点一度出现瘫痪风险

祸不光行。比特币击穿6000美元底线后，以太坊又爆隐患。

本日破晓，区块链安详公司PeckShield披露了一个安详裂痕：通过发送一个恶意报文，进攻者能向以太坊动员进攻。一旦乐成，以太坊2/3的节点将停摆，导致一园地动。

在区块链安详的天下里，巩固难求，步步惊心。

1、 “致命报文”

这个裂痕，被定名为：“致命报文”。

它呈此刻以太坊官方客户端geth上。后者对付以太坊至关重要：有约莫70%的节点运行在geth之上，包罗买卖营业所和矿池这些要害节点。

通过这个裂痕，进攻者可以直接让以太坊瘫痪。一旦乐成，以太坊市场将面对巨震。

PeckShield 向一本区块链显现了“致命报文”的裂痕细节：

以太坊的焦点，在于全部的客户端都必需遵守同样的协议，以保持共鸣。

这些协议由RLPx、DΞVp2p和其他子协议构成，后者包罗以太坊线路协议、轻量级以太坊协议等。

为了支持轻量级的客户端，轻量级以太坊子协议（LES）应承以太坊节点在同步获取区块时，仅下载区块的头部，在必要时再获取区块的其他部门。为了实现这一成果，还必要一个全节点（或archive节点）作为LES处事器，为轻量级节点提供处事。

执行以下呼吁，可以启动一个支持LES处事的geth全节点：

geth --lightserv 20

在向LES处事器哀求区块头部时，LES客户端会提倡范例为GetBlockHeaders的动静，而LES处事器的动静处理赏罚器认实情应的理会事变。GetBlockHeaders的信息处理赏罚器的代码片断如下：

由LES客户端发送的查询哀求遵循如下名目：

从第17行开始，LES处事器处理赏罚not reverse分支。在第19行，LES处事器会检测在忽略了query.Skip区块之后，是否尚有可用的区块头部。

假如检测通过，GetBlockHashesFromHash（）要领就会被挪用（即第20行），并返回一个区块头部数组。

然而，对作为输入的哀求，LES处事器并未验证其有用性。进攻者可以结构形如query.Skip = -1 （0xFFF．．．F）这样的恶意哀求。

当query.Skip+1被作为待分派数组的最大长度参数，转达至GetBlockHashesFromHash（）要领时，长度为0的数组即被分派并返回。

随后，通过索引query.Skip = 0xFFF…F会见该长度为0的数组时，LES处事器就会彻底瓦解。

“在发明裂痕后的第一时刻，我们就向以太坊基金会提交了裂痕陈诉。今朝，以太坊geth客户端的开拓团队，已宣布了响应的补丁。”PeckShield汇报一本区块链。

因此，固然这次裂痕危害面广，伤害性大，但并没有对以太坊造成现实丧失。

PeckShield事恋职员向一本区块链展示了以太坊官方的回覆邮件。

“这只是一系列裂痕中的一个，我们会随时发布其他裂痕。”PeckShield公司暗示。

2、 以太坊黑汗青

这不是以太坊第一次爆出安详裂痕，也不是最后一次。

在汗青上，以太坊曾呈现过两次重大裂痕变乱。

最闻名的一次，是2016年6月的“The DAO大劫案”。它直接导致了以太坊的硬分叉。

The DAO是陈设在以太坊收集上的最公共筹项目。黑客发明白其安详裂痕：其智能合约第666行代码的首字母“t”，被误写成了“T”。

区块链汗青上最严峻的进攻变乱，就此产生。

6个小时里，黑客窃取了The DAO 30%的以太币——1200万个。它们其期间价约6000万美元。

这次的进攻还激发了区块链降生至今最具争议的工作之一。

为将丧失降到最小，以太坊团队抉择修改以太坊软件的代码，强行把The DAO的全部资金，转到一个特定的退款合约地点，以夺回黑客手中的资产。

由于对此事观点迥异，以太坊破碎成了两条链，一条是以太坊（ETH），一条是以太坊经典（ETC）。它们各自代表差异的社区共鸣和代价观。

以太坊的另一次重大安详事情，产生在以太坊钱包Parity身上。

2017年7月，Parity被爆呈现重大安详裂痕：其多重署名合约wallet.sol存在bug。

官方确认，由于此事，150000ETH（约代价3000万美元）被盗。但通过比拟以太坊上的智能合约，一群计较机专家得出结论：这次进攻至少造成了1.54亿美元的丧失。这一金额，是The DAO 变乱丧失的3倍多。

教导凄切至极。

在区块链天下中，“代码即法令”。但那些存在裂痕的代码，正在成为黑客薅羊毛的得力器材。

3、卖水好买卖

今朝，全天下的数字钱币已经高出2000种，市值高出3300亿美元，这是一个辽阔的市场。

大家淘金时，卖水就有市场。安详裂痕频现时，堵漏就成了好买卖。

越来越多专注于区块链安详的团队，正在如春后雨笋般呈现。知道创宇、慢雾科技、白帽汇、Haloblock.io、PeckShield等公司，都重兵投入区块链安详规模。

“在区块链财富成长初期，安详变乱已经频仍袒露在各个环节，包罗：买卖营业所、矿池、钱包、智能合约……因此，区块链安详公司在早期区块链生态建树上，起着要害浸染。” PeckShield公司事恋职员暗示。

今朝，市场上的区块链安详公司，不只提供智能合约审计处事，还要提供一整套安详防护办理方案。

可以说，区块链安详处事正逐渐从上面的营业层转向更底层，出力从代码层面办理裂痕题目。

对付区块链市场来说，这是一个康健的征象。

从EOS裂痕到以太坊“致命报文”，底层公链的安详题目，层出不穷。

每一个裂痕，都也许成为黑客手中的按时炸弹。

从The DAO到EOS，智能合约成为了区块链安详的重灾区。

在区块链的狂野天下里，黑客和白帽子的战役，才刚开始。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!